La recente entrata in vigore del GDPR, la normativa europea sulla tutela dei dati personali, ha imposto alle aziende di adottare una serie di misure per proteggere e gestire al meglio le informazioni di terzi che si trovano a trattare. Tra queste vi è, in alcuni casi specifici, la nomina di un Responsabile per la Protezione dei Dati Personali. Per rispondere a questa necessità pressante, Axitea ha lanciato il servizio di DPO as a Service.
Il servizio consiste nella possibilità, da parte del cliente – aziende grandi e piccole, ma anche amministrazioni pubbliche – di rivolgersi a degli specialisti al fine di individuare, senza particolari gravosità organizzative ed economiche, un Responsabile per la Protezione dei Dati (Data Protection Officer o più semplicemente DPO). Si tratta di una figura esperta nella protezione dei dati, il cui compito è di aiutare il titolare del trattamento (l’azienda) a valutare e organizzare la gestione del trattamento di dati personali e la loro protezione, affinché questi siano trattati in modo lecito, pertinente, trasparente e con le opportune misure di garanzia e di riservatezza.
“La necessità di rispettare una normativa estesa e articolata come il GDPR ha portato molte organizzazioni a rivedere i propri processi di trattamento e gestione dei dati e a dotarsi di competenze non necessariamente presenti in azienda – spiega Andrea Lambiase, Head of Management Consulting -. Poter contare su un partner come Axitea, titolato e competente nella risoluzione di problematiche connesse alla normativa GDPR, rappresenta per queste aziende un vantaggio indiscusso, al tempo stesso organizzativo ed economico, rendendo di fatto variabile la componente di costo associata alla conformità.”
Le attività del DPO
Il DPO fornito da Axitea, svolgerà, sotto forma di servizio erogato presso il cliente e da remoto, le attività che il Garante Europeo richiede alle aziende che, per necessità o volontariamente, decidono di implementare il ruolo in oggetto. Nello specifico i suoi compiti sono:
• informare e consigliare le organizzazioni ed i loro dipendenti sui loro obblighi derivanti dal GDPR e dalla normativa nazionale;
• sorvegliare l’osservanza del GDPR e delle policies interne in materia di data protection, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit;
• fornire, se richiesto, un parere sulla valutazione d’impatto del trattamento sulla protezione dei dati e sorvegliarne lo svolgimento;
• cooperare con le autorità di controllo e fungere da loro punto di contatto per facilitare l’accesso, da parte di queste, ai documenti ed alle informazioni necessarie per lo svolgimento dei compiti del Data Protection Officer, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi alle stesse attribuite dal GDPR.
Quando è obbligatorio il DPO?
La normativa GDPR individua i tre casi in cui la nomina è obbligatoria:
• Quando il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
• Quando le attività principali (o primarie) dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
• Quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili (condizioni di salute, orientamento sessuale, etc.) o dati giudiziari (relativi a condanne penali e reati).