Trovare un DPO qualificato è importante, perché il Responsabile per la protezione dei dati (RPD o DPO) è coinvolto in tutto ciò che riguarda la protezione dei dati all’interno di un’organizzazione. Inoltre, deve avere una serie di competenze, oltre quelle già menzionate nel GDPR, come competenze in materia di protezione dei dati e di gestione del rischio.
In genere, bisogna considerare due opzioni quando si sceglie un DPO. Puoi nominare qualcuno all’interno della tua organizzazione, oppure una persona esterna. Ad ogni modo, è importante scegliere attentamente, visto che il DPO sarà responsabile di varie attività.
Ecco perché abbiamo messo insieme questa checklist, per aiutarti a capire come scegliere un Responsabile per la protezione dei dati per la tua attività.
🚀 Vai direttamente a Come scegliere il proprio DPO (stando ai requisiti del GDPR)→
Secondo il GDPR, il Responsabile per la protezione dei dati (RPD o DPO) aiuta il responsabile o il titolare del trattamento a impostare, applicare e monitorare una strategia di protezione dei dati in linea con i requisiti legali.
Il DPO dovrebbe inoltre essere competente nella gestione dei processi informatici, nella sicurezza dei dati e in altre questioni critiche relative al trattamento di dati personali e sensibili.
Il lavoro del DPO include diverse responsabilità, tra cui: essere il punto di contatto tra l’organizzazione e le autorità di controllo, istruire i dipendenti sugli obblighi di conformità e formare il personale che si occupa del trattamento dei dati.
Inoltre, il DPO si occupa di eseguire degli audit di sicurezza periodici e dà consigli su come migliorare l’adeguamento alla legge e agli standard di settore.
L’obbligo di nominare un DPO è definito nell’Articolo 37 del Regolamento generale sulla protezione dei dati (GDPR). In genere, devono rispettare questo requisito tutte le aziende a cui si applica il GDPR e che trattano una grande quantità di dati personali, indipendentemente dal fatto che il trattamento rientri nella capacità del responsabile o del titolare.
Il GDPR richiede la nomina di un DPO nelle seguenti circostanze:
👉 Quando il trattamento consiste nel monitoraggio regolare e sistematico degli interessati su larga scala (ad esempio, il trattamento con un sistema di video sorveglianza);La nomina di un DPO dipende non solo dal numero di dipendenti, ma anche dalla natura dell’attività di trattamento dei dati. Se la tua organizzazione non rientra in una di queste categorie, la nomina del DPO non è obbligatoria.
Credibilità
Competenza in campo legale
Competenze informatiche
Capacità di comunicare in modo chiaro
Intraprendenza
Capacità di leadership
Competenza globale
Secondo il GDPR, il DPO deve:
✅ essere imparziale ed evitare conflitti di interesse.
Il DPO non dovrebbe agire sulla base di commissioni di fornitori di servizi esterni, o la natura di questo rapporto cadrà nella definizione di conflitto di interesse.
Questo aspetto è importante, perché ti assicura di ricevere i consigli migliori per la tua attività, invece di consigli basati sull’interesse personale.
✅ essere affidabile, sia che si tratti di un dipendente della tua organizzazione o sia un dipendente esterno.
Il DPO può avere un solo ruolo nella tua organizzazione. Ad esempio, un DPO che supervisiona la sicurezza delle informazioni entrerà in conflitto se le sue valutazioni di rischio e le sue strategie di mitigazione sono valutate nel contesto della sua funzione come DPO. Se il tuo DPO è un dipendente esterno, assicurati che abbia tempo per dedicarsi alla tua organizzazione.
🗣 Il GDPR specifica che i DPO possono svolgere altri compiti, purché:
tali compiti e funzioni non diano adito a un conflitto di interessi.
Secondo il GDPR, il DPO deve:
✅ essere competente in materia di protezione dei dati, in base al tipo di trattamento eseguito.
Quindi il DPO deve essere un avvocato specializzato e conoscere tutte le leggi sulla privacy che si applicano alla propria organizzazione, cioè le leggi dei paesi dove l’organizzazione opera o esternalizza le proprie attività.
🗣 Il GDPR specifica:
“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. “È tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti” e “dovrebbe poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.”
Secondo il GDPR, il DPO deve:
✅ fornire assistenza su valutazioni dei rischi, contromisure e analisi sulla protezione dei dati;
✅ avere esperienza nelle valutazioni sulla privacy, le certificazioni privacy/i marchi di certificazione (privacy seal);
✅ possedere delle certificazioni per la sicurezza delle informazioni; e
✅ avere conoscenza approfondita della privacy, della valutazione dei rischi alla sicurezza e delle pratiche di mitigazione.
Queste competenze dovrebbero basarsi su una conoscenza più ampia di IS auditing, infrastrutture IT e programmazione.
Secondo il GDPR, il DPO deve:
✅ avere capacità di leadership e gestione di progetti, per richiedere, organizzare e gestire le risorse necessarie ad adempiere alle sue responsabilità;
✅ valutare criticamente la propria conoscenza per identificare eventuali lacune, per poi richiedere una formazione in quei campi; e
✅ possedere una vasta conoscenza del mondo aziendale e del settore in cui operano il responsabile e il titolare del trattamento. In questo modo, può comprendere come gestire la privacy e integrarla all’interno dei processi aziendali.
🗣 Il GDPR specifica:
Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati […] fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Secondo il GDPR, il DPO deve:
✅ essere intraprendente e avere la conoscenza e le capacità per eseguire i compiti assegnatigli e individuare le informazioni necessarie senza supervisione;
✅ avere una posizione di rilievo e l’abilità di comunicare con i vertici dell’azienda, che potrebbero non conoscere i doveri di un DPO.
🗣 Il GDPR specifica:
Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti […] Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
Secondo il GDPR, il DPO deve:
✅ gestire le richieste e i reclami degli interessati in un linguaggio semplice, evitando termini giuridici o tecnici.
✅ essere in grado di spiegare agli interessati quali sono i loro diritti e i loro obblighi. Inoltre, deve aiutare a formare chi si occupa di comunicare con gli interessati, per rispondere alle loro richieste.
🗣 Il GDPR specifica che gli interessati possono contattare il DPO:
per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.
Secondo il GDPR, il DPO deve:
✅ comunicare con responsabili e titolari di diversi paesi e culture;
✅ gestire diversi modi di pensare e lavorare ed essere in grado di adattarsi a queste differenze per giungere a una conclusione positiva.
In conclusione, a ogni organizzazione spetta il compito di scegliere un DPO qualificato, che possegga tutte queste caratteristiche.
Dai un’occhiata agli altri passaggi qui 👉
5 cose che devi fare adesso per adeguarti al GDPR