DPO AS A SERVICE
Servizio in outsourcing come Responsabile della Protezione dei Dati
Il regolamento europeo 2016/679 prevede la nomina di un DPO o Responsabile Protezione dei Dati (RPD) secondo l’art. 37 e considerando 97 del suddetto regolamento, inoltre questa figura viene riportata anche dalle linee guida WP243 del WP29 GDPR e secondo quanto definito dallo standard di settore ISO 11697.
L’art 37 prevede l’obbligatorietà di tale funzione nei seguenti casi:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Una figura di tale spessore risulta anche utile come gestore e controllore di un sistema privacy supportando il titolare nella sua implementazione e nel suo controllo.
SCOPI:
L’obiettivo è fornire una figura, come richiesto dal regolamento, o a seconda delle necessità che sostenga il titolare, lo supporti ed esegua i controlli necessari per verificare l’adeguatezza dei trattamenti alla normativa vigente
A CHI E' RIVOLTO:
Tutte le tipologie di Aziende sia già conformi alla regolamentazione sul trattamento dei dati, sia aziende che hanno intrapreso un percorso di conformità o che hanno introdotto novità impattanti sui trattamenti dei dati o quelle aziende per cui il ruolo è obbligatorio
CONTENUTI:
Il servizio di DPO si può articolare come segue e dovrà (art. 39):
- raccogliere informazioni per individuare i trattamenti svolti;
- informare e fornire consulenza al titolare del trattamento;
- operare l’analisi e la verifica dei trattamenti per valutarne la conformità al GDPR;
- svolgere attività di informazione, consulenza, e indirizzo nei confronti del titolare e del / dei responsabili;
- sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’ esercizio dei loro diritti;
- cooperare con l’Autorità di controllo, fungere da punto di contatto per l’Autorità di controllo oppure, eventualmente, consultare tale Autorità o altri controller preposti di propria iniziativa (“facilitatore”);
- considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo (Approccio basato sul rischio);
- fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fornire, se richiesto, pareri in merito alla conformità di eventuali nuovi servizi, prodotti, processi che l’azienda desideri negli anni modificare o implementare (Privacy by Design).
Le attività sopra citate e le altre che si ritenessero necessarie e funzionali al ruolo del DPO in azienda, saranno svolte secondo le seguenti modalità:
- Presidio: attività presso la sede / le sedi del cliente, finalizzata alla raccolta di esigenze on site, a tutte quelle lavorazioni per le quali è necessaria la presenza fisica del DPO in azienda (audit, audit interni, rapporti con il Garante, SAL GDPR, contatti con i responsabili e il Titolare del trattamento, censimento nuovi trattamenti ecc.)
- BackOffice: attività inerenti la compliance GDPR del cliente il cui delivery non è strettamente connesso alla presenza fisica del DPO in azienda (risposte su richieste interessati, analisi informazioni aziendali ecc..).
Il profilo professionale garantito rispecchia in pieno le caratteristiche richieste, in generale, dall’art. 37 par. 5 del GDPR e dal par. 8 delle “Linee Guida per i responsabili protezione dati” emesse dal WP 29, par. 8. In particolare:
- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del 2016/679;
- familiarità con le operazioni di trattamento svolte;
- familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- conoscenza acquisita dell’organizzazione del titolare/del responsabile;
- capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.
- raccogliere informazioni per individuare i trattamenti svolti;
- informare e fornire consulenza al titolare del trattamento;
- operare l’analisi e la verifica dei trattamenti per valutarne la conformità al GDPR;
- svolgere attività di informazione, consulenza, e indirizzo nei confronti del titolare e del / dei responsabili;
- sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’ esercizio dei loro diritti;
- cooperare con l’Autorità di controllo, fungere da punto di contatto per l’Autorità di controllo oppure, eventualmente, consultare tale Autorità o altri controller preposti di propria iniziativa (“facilitatore”);
- considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo (Approccio basato sul rischio);
- fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fornire, se richiesto, pareri in merito alla conformità di eventuali nuovi servizi, prodotti, processi che l’azienda desideri negli anni modificare o implementare (Privacy by Design).
Le attività sopra citate e le altre che si ritenessero necessarie e funzionali al ruolo del DPO in azienda, saranno svolte secondo le seguenti modalità:
- Presidio: attività presso la sede / le sedi del cliente, finalizzata alla raccolta di esigenze on site, a tutte quelle lavorazioni per le quali è necessaria la presenza fisica del DPO in azienda (audit, audit interni, rapporti con il Garante, SAL GDPR, contatti con i responsabili e il Titolare del trattamento, censimento nuovi trattamenti ecc.)
- BackOffice: attività inerenti la compliance GDPR del cliente il cui delivery non è strettamente connesso alla presenza fisica del DPO in azienda (risposte su richieste interessati, analisi informazioni aziendali ecc..).
Il profilo professionale garantito rispecchia in pieno le caratteristiche richieste, in generale, dall’art. 37 par. 5 del GDPR e dal par. 8 delle “Linee Guida per i responsabili protezione dati” emesse dal WP 29, par. 8. In particolare:
- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del 2016/679;
- familiarità con le operazioni di trattamento svolte;
- familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- conoscenza acquisita dell’organizzazione del titolare/del responsabile;
- capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.
