Privacy come gestire la GDPR ed il Data Protection Officer

L’articolo 37 del GDPR definisce i casi in cui la nomina di un DPO è obbligatoria:

• le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
• tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
• tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Oltre al DPO è comunque consigliato individuare e formare altre figure nel team di lavoro che garantiscano la piena conoscenza delle attività e delle modalità di trattamento dei dati personali dall’interno di una organizzazione.

Principali attività del DPO

L’art. 39 del GDPR descrive poi i compiti del responsabile della protezione dei dati:

• informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento;
• sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati;
• sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;
• fornire pareri e sorvegliare alla redazione della Data protection impact assessment;
• fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali;
• controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management);
• gestire inventari e gestire un registro dei trattamenti e delle attività di trattamento.

Vantaggi del DPO esterno

Scegliere di affidare esternamente l’incarico di DPO ha sicuramente alcuni vantaggi per l’azienda, primo fra tutti la sicurezza di affidarsi a un professionista competente e opportunamente formato per questo ruolo particolarmente delicato.

Egli sarà poi sicuramente più imparziale e godrà di maggiore autonomia rispetto a un incaricato interno che deve rispondere alla direzione anche per altre mansioni e potrebbe entrare in conflitto d’interessi con essa.

Organismo di Vigilanza

L’organismo di Vigilanza è una componente caratteristica e centrale del Modello organizzativo 231. Nominato dall’organo di governo dell’azienda, per esso svolge un’attività di verifica del modello medesimo, ovvero verifica che il modello sia effettivamente attuato e prevenga adeguatamente i reati presupposti.

Attività dell’Organismo di Vigilanza

L’Organismo di Vigilanza ha il compito di vigilare costantemente sull’osservanza del Modello, sulla sua effettiva efficacia nel prevenire la commissione dei reati, sull’attuazione delle prescrizioni contenute nel modello e infine sul suo aggiornamento, in caso si riscontri la necessità di adeguarlo a delle nuove necessità.

L’Ente non risponde se le persone che hanno commesso il reato hanno agito nell’interesse esclusivo proprio o di terzi.

L’Ente non risponde se prova che (D.Lgs. 231/01, art. 6):

• L’organo dirigente ha adottato, ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi.
• Il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato ad un organismo dell’Ente dotato di autonomi poteri di iniziativa e controllo.
• Le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e gestione.
• Non vi è stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza. L’Organismo di Vigilanza ha il ruolo di garante indipendente sull’efficacia dell’applicazione del modello.