Chi è il Data Protection Officer e quando è obbligatorio?

La nomina del Data Protecion Officer (DPO) è una delle novità più importanti introdotte dal Regolamento europeo sulla protezione dei dati, che diventerà applicabile dal 25 maggio 2018. Nominato dal Titolare e dal Responsabile del trattamento, ha il compito di assistere e vigilare sul trattamento dei dati, oltre ad essere il punto di contatto tra la struttura e l’autorità di controllo.

Il DPO è una figura obbligatoria per le strutture sanitarie pubbliche e private. Ecco chi è, in quali casi è obbligatorio e quali sono le sue funzioni.

Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO): chi è?

Il Data Protection Officer è un professionista dalle competenze trasversali: giuridiche, informatiche, di analisi dei processi e gestione del rischio. Può essere interno all’azienda o esterno ed ha il compito di osservare, valutare e organizzare le attività di trattamento dei dati personali raccolti, e proteggerli, nel rispetto delle norme europee e nazionali sulla privacy.

È una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR privacy), quindi una novità per molti paesi, anche se in alcuni Stati membri dell’Unione Europea è già presente da tempo. Nei paesi anglosassoni è chiamato generalmente Chief Privacy Officer (CPO) o Data Security Officer.

Per approfondire: Nuovo GDPR sulla privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!

Quando è obbligatorio?

Non tutte le aziende devono necessariamente avere un Data Protection Officer, ma in alcuni casi è il GDPR sulla privacy ad imporlo. Ecco in quali casi è obbligatorio:

  1. va nominato se chi tratta i dati personali è un’autorità pubblica o un organismo pubblico
  2. il DPO è necessario se le attività principali di chi tratta i dati (il Titolare o il Responsabile del trattamento) riguardano trattamenti dei dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.Per esempio: l’attività principale di un ospedale è dare assistenza sanitaria. Per adempiere a questa funzione, la struttura tratta molti dati sulla salute dei suoi pazienti, perciò c’è un nesso stretto tra l’attività principale dell’ospedale e l’attività di trattamento dei dati personali. Di di conseguenza l’ospedale deve obbligatoriamente nominare un DPO (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016)
  3. va nominato se le attività principali di chi tratta i dati consistono nel trattamento su larga scala dei dati personali elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), oppure i dati relativi a condanne penali e reati elencati all’art. 10 del Regolamento.Per esempio: l’elaborazione dei dati dei pazienti di un ospedale è un trattamento su larga scala, invece non lo sono i trattamenti di dati personali relativi ai pazienti di un singolo medico (fonte: Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016).

Per approfondire leggi il testo del Regolamento: REGOLAMENTO (UE) 2016/679

Quali sono i compiti del DPO?

Il DPO deve:

  1. informare e dare consulenza al Titolare del trattamento, al Responsabile e ai i dipendenti che trattano i dati su quali sono gli obblighi di legge relativi alla protezione dei dati
  2. verificare che le norme in materia di trattamento dei dati siano rispettate dall’organizzazione e
    se richiesto, deve dare un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  3. cooperare con l’autorità di controllo ed essere il punto di contatto fra quest’ultima e l’organizzazione per cui presta la sua attività

Fonti:
Il Data Protection Officer nelle linee guida del WP 29 , Studio Delli Ponti, gennaio 2017
Il Garante privacy dà indicazioni per la nomina del DPO , Studio Legale Stefanelli, gennaio 2018
Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016 ,Diritto 24, Il Sole 24ore


Mancano ancora 10 settimane all’applicazione del GDPR privacy: la tua struttura è pronta?

GIPO ha scelto la sicurezza, ci affidiamo a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.

icona call center Vuoi parlare con un nostro esperto?

Scrivici
Trasforma le chiamate perse in una fonte di profitto!
Con un solo strumento, non solo recuperi le chiamate perse al tuo centro, ma le trasformi in nuovi appuntamenti!