BLOG

Il nostro blog

GDPR tutte le figure necessarie in azienda

GDPR: tutte le figure necessarie in azienda

Il GDPR – General Data Protection Regulation ha introdotto una serie di principi e indicazioni da seguire per tutelare i dati personali dei cittadini europei. Ha previsto anche l'introduzione di tre figure professionali chiave che le aziende devono prevedere per essere conformi alla normativa:

  • il titolare del trattamento dei dati personali,
  • il responsabile del trattamento,
  • il responsabile della protezione dati (Data Protection Officer - DPO).

 

Il titolare del trattamento dei dati personali

Il titolare del trattamento, predisponendo opportune misure organizzative e tecniche, ha il compito di far rispettare i principi fissati dal GDPR; in particolare: la correttezza e trasparenza del trattamento dei dati, il rispetto delle finalità e la riservatezza durante il trattamento.

Il titolare ha la possibilità di condividere il proprio impegno in quest’ambito con una o più figure professionali, definite, appunto, contitolari.

Tale condivisione deve essere regolata da un accordo interno all'azienda che, in particolare, deve essere specifico in merito ai compiti relativi all'esercizio dei diritti degli interessati (ovvero le persone fisiche a cui si riferiscono i dati personali e ai quali la legge attribuisce specifici diritti). Questi ultimi possono rivolgersi a uno qualsiasi dei contitolari indifferentemente e ciò significa che ciascuno di essi deve operare congiuntamente con gli altri. NDLISA poco chiaro

 

Il responsabile del trattamento

Questa figura professionale deve garantire che i trattamenti dei dati vengano effettuati in conformità del Regolamento e, quindi, implementare le policy organizzative e tecniche necessarie per conseguire questo obiettivo.

La nomina di questo responsabile avviene con un contratto che disciplina, tra le altre cose, materia, durata, natura e finalità del trattamento dei dati, oltre al tipo di dati personali trattati. Tra gli obblighi di quanti rivestono questo ruolo vi è quello di assistere il titolare in caso di richieste in merito all'esercizio dei diritti dell'interessato; cancellare o restituire tutti i dati e distruggere le copie esistenti alla fine del trattamento; mettere a disposizione tutte le informazioni utili per dimostrare il rispetto di tutti i suoi obblighi in caso di ispezioni.

Il GDPR prevede la presenza in azienda di sub responsabili che si occupano di particolari attività secondo obblighi contrattuali specifici, cioè istruzioni scritte. Comunque, il responsabile risponde al titolare dei trattamenti dell'operato dei sub responsabili anche, eventualmente, in caso di risarcimento danni.

GDPR Navigator

 

Il responsabile della protezione dati (Data Protection Officer DPO)

È la figura chiave introdotta con il Regolamento europeo sulla protezione dei dati. Il Data Protection Officer ha infatti il compito di fornire consulenza alle precedenti figure professionali, così come a tutti i soggetti coinvolti nel processo di trattamento dei dati aziendali. Nelle sue prerogative vi è quella di attuare un audit in tema data privacy, così come organizzare attività di formazione per il personale; vi è poi la responsabilità di stilare le priorità in modo da indicare come suddividere le risorse in base al rischio riscontrato. Deve, naturalmente, sorvegliare che il GDPR e tutta la normativa sulla privacy in generale siano osservati, fornire pareri sulla valutazione di impatto sulla protezione dei dati, cooperare con il Garante quando se ne presenti la necessità e occuparsi della tenuta del Registro dei trattamenti (il documento che indica la corretta gestione dei dati).

Questa figura può essere interna o esterna all'azienda. In questo ultimo caso, l'attività viene data in outsourcing, ma deve essere definita chiaramente la ripartizione delle competenze.

Se, invece, il profilo è interno è importante che non si configuri la possibilità di conflitto di interessi, il DPO non deve cioè svolgere un lavoro che implichi il determinare finalità e modalità del trattamento. Più in generale, proprio per poter svolgere al meglio le proprie mansioni, il Data Protection Officer deve essere autonomo e operare in piena indipendenza e, per esempio, poter manifestare il proprio dissenso su decisioni riguardanti questa materia senza subire ripercussioni negative sulla propria posizione.

New call-to-action

 

Topics: GDPR