Il ruolo del DPO
Il ruolo del DPO, cos'è, chi ne ha bisogno e chi designa la persona giusta per questo lavoro.
SCARICA IL NOSTRO EBOOK GRATUITO
Per Conformità al GDPRIn generale, la maggior parte delle organizzazioni più grandi avrà bisogno di un responsabile della protezione dei dati o DPO, mentre la maggior parte di quelle più piccole non ne avrà bisogno.
Ecco i dettagli.
Il DPO è obbligatorio nei tre casi seguenti:
In primo luogo, quando il responsabile del trattamento o del processo è un'autorità o un organismo pubblico o agisce a caldo.
In secondo luogo, se le attività del responsabile del trattamento o dell'incaricato del trattamento consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala.
Infine, se le attività principali del responsabile del trattamento o dell'incaricato del trattamento consistono nel trattamento su larga scala di categorie particolari di dati. Quindi, parlando di dati altamente sensibili come le affiliazioni politiche o le preferenze sessuali o i dati personali relativi a condanne penali e reati, secondo che utilizza.
Il gruppo di lavoro dell'articolo 29, che è il gruppo che crea i Guida al GDPR Le attività fondamentali possono essere considerate come le operazioni chiave necessarie per raggiungere gli obiettivi dei responsabili del trattamento o degli incaricati del trattamento. In pratica, il trattamento dei dati è al centro della capacità operativa dell'organizzazione. Pensate quindi a un ospedale o a una società di sicurezza privata che ha bisogno di quei dati. Ora, il termine "grande scala" è un po' vago e spetta al controllore dei dati o processi per determinare se si applica a loro in base a fattori quali il numero di soggetti, le registrazioni, la geografia e la durata dell'attività.
Esempi di monitoraggio su larga scala sono i motori di ricerca degli ospedali e le compagnie di assicurazione, i dati dei clienti. Ora, esempi che non costituiscono un monitoraggio su larga scala sono il trattamento dei dati da parte di un singolo medico o commercialista o il trattamento dei dati personali relativi a condanne penali e reati. Da parte di un singolo avvocato.
Si possono così riassumere i tre tipi di organizzazioni che hanno bisogno di un DPO come servizi governativi. Si pensi quindi a un'autorità comunale. Il gruppo di lavoro dell'articolo 29 raccomanda alle aziende private che svolgono funzioni pubbliche simili di nominare un RPD. Quindi non sono strettamente un dipartimento governativo o un dipartimento dell'amministrazione locale, ma potrebbero comportarsi come tali.
Pensate quindi a organizzazioni come un'associazione immobiliare, un fornitore di acqua o un fornitore di energia. In secondo luogo, pensate se i vostri dati sono al centro della vostra organizzazione e su larga scala. Ad esempio una banca, un'azienda di analisi web o un ospedale.
Se i dati sono la vostra linfa vitale e su larga scala, avrete bisogno di un DPO.
Infine, se gestite molti dati sensibili, conoscete le cosiddette categorie speciali di dati. In tutti e tre questi casi avremo bisogno di un DPO.
Ora, alcune delle cose da notare in sede di DPA possono essere obbligatorie anche in base alle leggi nazionali e a tutti i regimi di conformità. Nel Regno Unito, dall'aprile 2017, non abbiamo ancora ricevuto le linee guida locali per il Regno Unito e per gli altri Paesi dell'Unione europea, ma le indicazioni arriveranno. Ora, se un'organizzazione non è obbligata a assegnare un DPO ma lo fa volontariamente rispetto ai requisiti del DPO o come se il ruolo fosse richiesto in primo luogo.
Per le organizzazioni che decidono di non richiedere un DPO, il Gruppo di lavoro Articolo 29 raccomanda un'analisi interna.
La decisione viene presa e documentata per dimostrare che tutti i fattori relativi sono stati presi in considerazione correttamente. Che cosa fa in concreto un DPO?
In primo luogo, il DPO non è responsabile, quindi lo ripeto. Il DPO non è responsabile o tenuto a rispondere della conformità al GDPR.. Questo dovere ricade sull'organizzazione stessa. Il DPO ha il compito di assistere l'organizzazione nel mantenimento della conformità alla protezione dei dati. Dovrebbe offrire una guida esperta, supporto, protezione dei dati, valutazioni d'impatto e audit e fungere da intermediario tra gli interessati, le organizzazioni, le unità aziendali e l'autorità di vigilanza. Ora il DPA sarà in prima linea in caso di violazione dei dati e dovrà avere una profonda conoscenza della protezione dei dati dell'organizzazione. I dati di contatto del DPO devono essere disponibili al pubblico per gli interessati, ad esempio su una pagina pubblica di privacy policy sul sito web, e i dipendenti devono sapere chi è il DPO e come contattarlo.
È fondamentale. Oggi giorno, il DPO è il responsabile interno o l'autorità per le linee guida sulla protezione dei dati per tutte le attività che coinvolgono dati personali. Pertanto, qualsiasi nuova architettura di progetto o piano che includa dati personali deve avere l'input del DPO a sua volta.
La disponibilità del DPO per tutti i team è essenziale.. Tutti devono poterne disporre. Il Guida al DPO non deve necessariamente essere seguito, ma se non lo è, deve essere esplicitamente documentato il motivo e le valutazioni del rischio effettuate.
Il DPO può essere impiegato in qualsiasi unità aziendale in cui non vi sia un conflitto di interessi e deve avere un contatto diretto con il livello superiore di gestione. Il volume di lavoro richiesto a un DPO varia enormemente da un'organizzazione all'altra. Un'azienda più piccola può richiedere uno o due giorni di lavoro del DPO al mese. So che questo potrebbe richiedere un DPO a tempo pieno con un grande supporto e un team alle sue dipendenze.
L'insufficienza di risorse nel ruolo di DPO sarebbe un errore molto imprudente, soprattutto se l'autorità di vigilanza dovesse bussare. Ora, è fondamentale che il Il DPO deve essere un vero esperto del GDPRche si tratti di un avvocato esperto, di un responsabile della conformità o di un consulente esterno. Devono conoscere a fondo il GDPR e sapere come rispettarlo nel mondo reale. Non sono richieste qualifiche specifiche per un DPO. Ma oltre a una conoscenza approfondita del GDPR, deve avere anche forti competenze in materia di sicurezza delle informazioni, gestione dei progetti, sfumature aziendali e organizzative per le norme e le procedure amministrative.
In sintesi, il DPO è il vostro consulente esperto in materia di GDPR pronti a lavorare con i team di progetto, valutando la conformità. Ed è felice di affrontare il supervisore o l'autorità in caso di violazione dei dati. Il DPO ha ampie competenze e riferisce direttamente al consiglio direttivo.
Per facilitare la ricerca, è possibile scaricare il file Modello di descrizione del DPO qui.