DPO Sansepolcro

Se state cercando un professionista esperto e certificato UNI 11697:2017 profilo DPO per svolgere il ruolo di Data Protection Officer nella vostra azienda o ente pubblico – nella città di Sansepolcro o nelle zone e Comuni limitrofi – siete nel posto giusto!

Se invece necessitate di una consulenza privacy o adeguare la vostra azienda alla normativa di protezione dei dati personali, visitate la specifica pagina o la pagina con tutte le nostre attività.

Dapprima forniamo alcune informazioni generali su questa nuova figura, tra le più importanti novità introdotte dal Regolamento UE 679/2016.

Chi è il Data Protection Officer?
Il Data Protection Officer (di seguito in sigla DPO o D.P.O.) è un ruolo chiave, introdotto nel 2018 dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il D.P.O. (nel codice italiano indicato come R.P.D. Responsabile della Protezione dei Dati), figura già presente in alcune legislazioni europee (anche conosciuto come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura che ha un ruolo determinante nella reale compliance alla normativa di protezione dei dati personali in una organizzazione.

Chi deve nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Compiti del DPO
I compiti primari del Data Protection Officer sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
  5. essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Oltre a queste attività, noi riteniamo che il DPO debba essere coinvolto attivamente nella scelta degli strumenti di trattamento, nella valutazione dei rischi e della adozione delle misure di sicurezza (prevenire, quindi comportamento proattivo, come richiesto dal Regolamento); pensiamo anche che debba essere in prima fila nella gestione di un eventuale violazione di dati personali (data breach). Per questo, occorrono valide competenze in ambiti tecnologici ed informatici.

Chi può essere nominato DPO?
In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento. Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di R.P.D. ; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione professionale di livello e continua.

Un DPO dovrebbe avere competenze giuridiche oppure tecnologiche?
Generalmente, abbiamo osservato come il ruolo del DPO venga rivestito da un avvocato oppure da un informatico; noi riteniamo che un DPO debba disporre di competenze in ambito giuridico, legale, organizzativo, ma anche una reale conoscenza di aspetti tecnologici ed informatici. Oggi ogni trattamento è svolto con strumenti elettronici, e per questo la protezione dei dati personali deve basarsi – in primis – sulla reale conoscenza delle infrastrutture informative attuali, sulle complesse misure di sicurezza da adottarsi ma anche sulle mutevoli minacce del panorama cyber. Per questo, il nostro team è composto da professionisti che coniugano competenze giuridiche ad approfondita conoscenza tecnologica di strumenti, hardware e software, reti TLC, che ci consente di offrire consulenza integrata sulla protezione dei dati e sulla reale sicurezza della vostra infrastruttura informativa, assicurando piena conformità normativa.

In questo momento l’Italia è oggetto di quasi il 10 percento degli attacchi mondiali, ed ogni giorno almeno una organizzazione italiana è oggetto di violazione, lo potete verificare in autonomia sui vari RansomWare monitor. Nel prossimo anno, abbiamo già evidenze che verranno condotti attacchi massivi basati su bruteforce delle password, usando i vari database di password ricavate dai breach passati. Adesso è il momento di aumentare la resilienza, altrimenti la violazione è dietro l’angolo.

Il ruolo del DPO esterno
Le organizzazioni di dimensioni limitate o che non hanno figure qualificate da investire dell’incarico di D.P.O. debbono nominare una figura esterna, che abbia i requisiti necessari, a rivestire il ruolo di DPO. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti come il nostro team) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari. Occorre fare molta attenzione a che non sussistano conflitti di interessi (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali / amministrativi già incaricati di altre mansioni che determinino palesi conflitti di interesse).

Autonomia del Data Protection Officer
Il Regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado di adeguata autonomia nella organizzazione del titolare del trattamento incaricante. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente, ne penalizzazioni. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

Possiamo nominare nel ruolo di DPO il Commercialista, la Software House oppure il nostro Responsabile IT?
NO, in quanto sussiste un palese conflitto di interessi; inoltre, nell’atto di designazione o nel contratto di servizi devono essere indicate le motivazioni che hanno indotto il management a scegliere quel soggetto, piuttosto che un’altro, per svolgere la funzione di DPO. Inoltre, le Autorità di Controllo UE hanno già sanzionato designazioni di soggetti che non disponevano delle competenza adeguate a rivestire il ruolo di Responsabile della Protezione dei Dati Personali.

La nomina del DPO rileva il board aziendale dalle responsabilità privacy?
No, la figura del Data Protection Officer è intesa come “facilitatore  e controllore” delle procedure privacy aziendali adottate e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le responsabilità.

Il DPO deve essere formalmente nominato?
La nomina del DPO è un atto formale, accanto al quale deve essere presente anche una seria valutazione delle competenze del soggetto e le motivazioni per le quali esso è stato scelto, in riferimento alle peculiarità della organizzazione.
Nell’ipotesi di incarico ad un team o una società (persona giuridica), occorre comunque che sia individuata in maniera inequivocabile una persona fisica che specificamente opererà come DPO, riportandone espressamente le generalità.
In tutti i casi, la nomina del ruolo dovrà essere comunicata al Garante tramite la apposita procedura on-line, e gli estremi di contatto del DPO indicati sulle informative e sul sito web aziendale.

Abbiamo esperienza, competenze ed affidabilità per svolgere il ruolo di DPO in organizzazioni ed aziende – di qualsiasi tipologia e dimensione – interessate a nominare un professionista esterno, nella città ed in tutta la Provincia di Arezzo; contattateci per ulteriori richieste o per un primo incontro conoscitivo, assolutamente non vincolante e gratuito.