Chi è il Data Protection Officer e quando è obbligatorio?

La nomina del Data Protecion Officer (DPO) è una delle novità più importanti introdotte dal Regolamento europeo sulla protezione dei dati, che diventerà applicabile dal 25 maggio 2018. Nominato dal Titolare e dal Responsabile del trattamento, ha il compito di assistere e vigilare sul trattamento dei dati, oltre ad essere il punto di contatto tra la struttura e l’autorità di controllo.

Il DPO è una figura obbligatoria per le strutture sanitarie pubbliche e private. Ecco chi è, in quali casi è obbligatorio e quali sono le sue funzioni.

Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO): chi è?

Il Data Protection Officer è un professionista dalle competenze trasversali: giuridiche, informatiche, di analisi dei processi e gestione del rischio. Può essere interno all’azienda o esterno ed ha il compito di osservare, valutare e organizzare le attività di trattamento dei dati personali raccolti, e proteggerli, nel rispetto delle norme europee e nazionali sulla privacy.

È una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR privacy), quindi una novità per molti paesi, anche se in alcuni Stati membri dell’Unione Europea è già presente da tempo. Nei paesi anglosassoni è chiamato generalmente Chief Privacy Officer (CPO) o Data Security Officer.

Per approfondire: Nuovo GDPR sulla privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!

Quando è obbligatorio?

Non tutte le aziende devono necessariamente avere un Data Protection Officer, ma in alcuni casi è il GDPR sulla privacy ad imporlo. Ecco in quali casi è obbligatorio:

  1. va nominato se chi tratta i dati personali è un’autorità pubblica o un organismo pubblico
  2. il DPO è necessario se le attività principali di chi tratta i dati (il Titolare o il Responsabile del trattamento) riguardano trattamenti dei dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.Per esempio: l’attività principale di un ospedale è dare assistenza sanitaria. Per adempiere a questa funzione, la struttura tratta molti dati sulla salute dei suoi pazienti, perciò c’è un nesso stretto tra l’attività principale dell’ospedale e l’attività di trattamento dei dati personali. Di di conseguenza l’ospedale deve obbligatoriamente nominare un DPO (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016)
  3. va nominato se le attività principali di chi tratta i dati consistono nel trattamento su larga scala dei dati personali elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), oppure i dati relativi a condanne penali e reati elencati all’art. 10 del Regolamento.Per esempio: l’elaborazione dei dati dei pazienti di un ospedale è un trattamento su larga scala, invece non lo sono i trattamenti di dati personali relativi ai pazienti di un singolo medico (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016).

Per approfondire leggi il testo del Regolamento: REGOLAMENTO (UE) 2016/679

Quali sono i compiti del DPO?

Il DPO deve:

  1. informare e dare consulenza al Titolare del trattamento, al Responsabile e ai i dipendenti che trattano i dati su quali sono gli obblighi di legge relativi alla protezione dei dati
  2. verificare che le norme in materia di trattamento dei dati siano rispettate dall’organizzazione e
    se richiesto, deve dare un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  3. cooperare con l’autorità di controllo ed essere il punto di contatto fra quest’ultima e l’organizzazione per cui presta la sua attività

Fonti:
Il Data Protection Officer nelle linee guida del WP 29 , Studio Delli Ponti, gennaio 2017
Il Garante privacy dà indicazioni per la nomina del DPO , Studio Legale Stefanelli, gennaio 2018
Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016 ,Diritto 24, Il Sole 24ore


Mancano ancora 10 settimane all’applicazione del GDPR privacy: la tua struttura è pronta?

GIPO ha scelto la sicurezza, ci affidiamo a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.

icona call center Vuoi parlare con un nostro esperto?

Chiama il numero verde 800 944 311 oppure contattaci

Chiamaci Scrivici