Luca Busi, CEO e Founder di GmgNet, ha ottenuto la Certificazione di conformità alla norma tecnica UNI 11697:2017 in qualità di Responsabile Protezione Dati (DPO – Data Protection Officer) rilasciata dall’ente FAC Certifica.
La figura del DPO rappresenta il grado massimo di figura professionale in ambito GDPR.
Per raggiungere questa certificazione occorre dimostrare di avere seguito una formazione di minimo 80 ore, avere un’esperienza di almeno 4 anni in ambito privacy e avere competenze sia normative che di Cyber Security.
Vuoi saperne cosa devi fare per adeguarti al GDPR?
Chi è e cosa fa il DPO
Il Data Protection Officer (DPO), o in italiano Responsabile Protezione Dati, è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (il famoso GDPR), pubblicato sulla Gazzetta Ufficiale Europea L. 119 il 4 maggio 2016.
Il Responsabile Protezione Dati è un professionista che deve avere competenze giuridiche, informatiche, di risk management e di analisi dei processi. Può essere un soggetto interno all’azienda oppure esterno.
La responsabilità principale del DPO è quella di osservare, valutare, organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda pubblica o privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Nel mondo anglosassone questa figura è già conosciuta con il termine di Chief Privacy Officer (CPO), Privacy Officer o Data Security Officer.
Il DPO non deve però essere confuso con il Responsabile del trattamento dei dati personali, figura ben diversa. Il DPO dovrà essere un soggetto dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti. Egli dovrà rispondere solo ed esclusivamente nei confronti del Titolare del trattamento o del Responsabile del trattamento da cui è stato nominato.
Il Responsabile Protezione Dati dovrà svolgere i seguenti compiti:
-
vigilare sull’osservanza del Regolamento UE 2016/679 e, più in generale, della normativa vigente in materia di privacy;
-
informare e consigliare il Titolare del trattamento in merito agli obblighi derivanti dal Regolamento e dalla normativa in materia di privacy;
-
supportare il Titolare in ogni attività concernente il trattamento di dati personali (quali la redazione del Registro dei dati del trattamento);
-
collaborare con il Titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA);
-
cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
-
essere consultato in caso di data breach e assistere il Titolare del trattamento in caso di necessità di notifica al Garante.
Il DPO potrà essere nominato fra i dipendenti dell’azienda oppure potrà essere designato un soggetto esterno: un avvocato, un ingegnere o, come nel caso di GmgNet, un soggetto dotato di idonee competenze.
Hai bisogno del DPO?
Secondo l’art. 37 del Regolamento UE 2016/679, saranno obbligati a designare un Responsabile Protezione Dati:
-
le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
-
tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
-
tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
In generale si può dire che, a meno che non risulti evidente che un soggetto non sia tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. La nomina di un DPO è comunque consigliata anche nei casi in cui non risulti obbligatoria.