Obbligo di nomina, entro il 25/05/18, del Data Protection Officer (DPO). Di che si tratta?

A meno di due mesi dall’entrata in vigore del nuovo Regolamento Europeo per la protezione dei dati personali (Regolamento UE 679/216), il Garante Privacy ha pubblicato le nuove FAQ sul Responsabile della Protezione dei Dati (DPO) in ambito privato, chiarendo quali sono i soggetti obbligati alla nomina del DPO.

Obbligo di nomina del DPO (Data Protection Officer, questo sconosciuto)? Di che si tratta?

Detto in modo UCAS (Ufficio Complicazioni Affari Semplici): “sono tenuti alla designazione del responsabile della protezione dei dati personali (Data Protection Officer – DPO), il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679 (#GDPR)“.

Tradotto dal burocratese possiamo dire che si tratta di soggetti (privati) le cui principali attività (in primis, le attività dette “core business”), consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Ancora difficile? Facciamo allora alcuni esempi.

Sono tenuti alla nomina del DPO, a titolo esemplificativo e non esaustivo:

  1. istituti di credito (facile da immaginare dopo le denunce di molti imprenditori di accesso non autorizzato alla Centrale Rischi da parte delle banche);
  2. imprese assicurative;
  3. sistemi di informazione creditizia;
  4. società finanziarie;
  5. società di informazioni commerciali;
  6. società di revisione contabile;
  7. società di recupero crediti;
  8. istituti di vigilanza (che già hanno alcuni requisiti che devono rispettare sulla Data Protection con le norme UNI 10891 – UNI CEI EN 50518 – Decreto del Ministero dell’Interno 04/06/2014 n. 115, Decreto del Ministero dell’Interno 01/01/2010 n. 269 e Disciplinare del Capo della Polizia, e sappiamo già che saranno “poco proattivi” nell’applicazione di requisiti ancora più stringenti sulla Data Protection);
  9. partiti e movimenti politici;
  10. sindacati;
  11. caf e patronati;
  12. società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  13. imprese di somministrazione di lavoro e ricerca del personale;
  14. società operanti nel settore della cura della salute (Case di cura, Cliniche…), della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi e centri di riabilitazione (dove spesso l’applicazione della Data Protection non sempre è attuata, ad esempio per l’utilizzo di software obsoleti o di procedure di check-in non conformi);
  15. società di call center (che utilizzano dati di cittadini Europei anche se hanno sede fuori dall’Europa);
  16. società che forniscono servizi informatici;
  17. società che erogano servizi televisivi a pagamento

Non è chiaro se obbligati o meno:

  1. studi associati o società di elaborazione paghe di professionisti associati (per esclusione al punto a) di “Chi non è obbligato”?).

Chi non è obbligato:

  1. liberi professionisti operanti in forma individuale (Avvocato, Ingegnere, Architetto, Commercialista);
  2. agenti, rappresentanti e mediatori operanti non su larga scala;
  3. imprese individuali o familiari;
  4. piccole e medie imprese (PMI), con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti (nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria). E’ chiaro che se la PMI ha come funzionale al “core business” un’attività di Marketing (email, call center, ecc.), deve nominare il DPO.

Sembra inoltre evidente che la maggior parte delle aziende sono impreparate o non hanno compreso pienamente la necessità di trasformare i propri processi per adeguarsi al nuovo Regolamento UE, nonostante le sanzioni siano pesanti (fino al 4% del fatturato complessivo o fino a 20 milioni di euro).

Profili Aziendali & Partners fornisce il servizio di consulenza per consentire alle aziende di verificare il proprio grado di adeguamento rispetto ai requisiti imposti del GDPR, e definire un piano verso la compliance, analizzando il proprio livello di conformità per quanto riguarda identificazione dei dati personali, gestione degli accessi, protezione e documentazione relativa.

Per qualsiasi ulteriore informazione potete contattare i nostri uffici allo 0861/855809 od inviare una e-mail al nostro Data Protection Officer all’indirizzo renato.gambella@profiliaziendali.it

Vuoi essere ricontattato?






Il/La sottoscritto/a, informato/a sui propri diritti ed acquisite le informazioni fornite dal titolare del trattamento ai sensi dell'articolo 13 del D.Lgs. 196/2003, come interessato presta il suo consenso al trattamento ed alla comunicazione dei propri dati personali e della Società che rappresenta per le finalità e con le modalità indicate nella Informativa Privacy.

Conferma di non essere uno spambot:

Share this post:

Articoli collegati

Lascia un tuo commento