GDPR e nomina di un DPO esterno: chi è obbligato ad averlo e a chi affidarsi

Introduzione

Sei hai un’azienda, un’agenzia o un’attività professionale di certo avrai sentito parlare più di una volta del GDPR, il Regolamento (UE) 2016/679, diventato operativo da maggio 2018 e che dalla sua entrata in vigore ha seminato ansia e preoccupazione in ogni settore economico. La recente normativa in materia di dati personali infatti ha introdotto diverse novità sotto il profilo giuridico, organizzativo e tecnico-informatico a cui tutti dobbiamo attenerci. Uno degli obblighi più importanti, ma che vale solo per alcune categorie di soggetti, è la nomina del DPO (Data Protection Officer) o Responsabile per la protezione dei dati. Il panorama è molto ampio e la figura nuova, quindi non è semplice decidere a chi affidarsi e soprattutto capire cos’è un DPO, quando è obbligatorio nominarlo e di cosa si occupa. Lo abbiamo chiesto ad AgileDPO, società fondata esclusivamente da DPO certificati – e che si è affidata a Clickable per la SEO e l’advertising online – perché è sicuramente uno degli interlocutori più importanti e preparati sui temi del GDPR e della protezione dei dati, a livello europeo.

Cosa c’è da sapere

“Il DPO è una nuova figura introdotta dal GDPR, che ha il compito di informare e fornire consulenza al titolare del trattamento dei dati, e sorvegliare che l’azienda sia in regola con la normativa in materia. Il DPO coopera con il Garante ed è il punto di contatto fra l’autorità e l’azienda. Il suo compito è anche quello di dare un parere sulla DPIA, la valutazione d’impatto, necessaria quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate come, per esempio, l’installazione di un sistema di videosorveglianza in azienda. Non tutti i soggetti sono obbligati a nominarlo, ma molto dipende dall’attività svolta. Per esempio l’obbligo vale per istituti di credito, imprese assicurative, società che operano nel settore della cura e della salute, nel settore delle “utilities” e società che forniscono servizi informatici. L’elenco dei soggetti obbligati – ma che non è esaustivo ed è puramente esemplificativo – è presente anche sul sito del Garante per la protezione dei dati personali.”. – Si tratta quindi un professionista con competenze trasversali, regolarmente assunto dall’azienda? “Rispetto alle competenze la risposta è sì, ma bisogna tener conto di un fatto: è difficile che una sola persona, cioè un singolo DPO – che normalmente viene incaricato da più aziende – sia esperto in ogni ambito toccato dal GDPR: legale, informatico, organizzativo, tecnico. Quindi le competenze del DPO sono sì trasversali, ma difficilmente incarnate in un’unica persona. Per quanto riguarda la nomina, invece, il GDPR non obbliga l’azienda ad assumere il Data Protection Officer, ma prevede che il titolare dei dati possa incaricare anche un DPO esterno, che può essere un libero professionista o una persona giuridica.” – Quindi è possibile affidarsi anche ad una società come la vostra? “Certamente. Abbiamo deciso di fondare AgileDPO perché sappiamo che la gestione tecnico-legale dei dati personali è molto complessa e per questo dovrebbe coinvolgere specialisti in diverse materie, ognuno competente nel suo settore, ma con una visione comune.”

AgileDPO, il tuo DPO esterno e certificato

AgilePDO è una società fondata da DPO che hanno ottenuto la certificazione da Enti Nazionali ed Europei come Accredia e Unicert DAKKS: legali, periti ingegneri, auditor ISO, docenti e consulenti esperti sul GDPR, lead auditor ed esaminatori delle figure di DPO per conto di diversi Enti di Certificazione. Sono professionisti che lavorano in team e che sono presenti su tutto il territorio nazionale. “Il nostro è un approccio multidisciplinare e multipersonale. Multidisciplinare perché i nostri professionisti coprono tutti gli ambiti legati alla gestione dei dati. Multipersonale perché una sola persona non può intervenire tempestivamente e con competenza in ogni singola area della gestione dati. Pensiamo ad un Data Breach (cioè una violazione dei dati) o ad un’ispezione da parte delle autorità: in base al problema e alla situazione possiamo fornire l’assistenza ed il supporto di un DPO esperto in quella precisa area (legale, tecnica, organizzativa) o di un team di DPO, tempestivamente e ovunque in Italia. In AgileDPO lavorano professionisti della privacy noti a livello nazionale ed internazionale e per mantenerci costantemente al passo con le evoluzioni del settore, abbiamo investito molto nell’aggiornamento, con una scuola di formazione ed un social network interno e riservato.”

I servizi di AgileDPO

  • Redazione del Rapporto di sorveglianza, cioè il documento obbligatorio per legge che elenca le misure adottate dall’azienda per la protezione dei dati
  • Verifica e gestione tempestiva della violazione dei dati personali (Data Breach)
  • Affiancamento durante le visite ispettive per la compliance con il GDPR.
  • Analisi dei documenti legali e valutazione dell’impatto sulla protezione dei dati (DPIA)
  • Analisi delle misure di sicurezza adottate dall’azienda per gestire e proteggere i dati
L’offerta di AgileDPO si divide in tre formule:
  • Start-up, che comprende: tutte le attività necessarie al DPO per partire e verificare che sia tutto in regola con la normativa sulla privacy; il primo rapporto di sorveglianza; una sessione formativa
  • A consumo, il servizio per gestire imprevisti ed esigenze particolari: Data Breach, visite ispettive, richieste di accesso ai dati e altre attività non previste nella formula start-up e in quella annuale
  • Pacchetto annuale, che può essere attivato dopo la fase di start-up e che prevede l’affiancamento per mantenere documenti e processi di raccolta e trattamento dei dati sempre aggiornati e in regola

Hai un’azienda obbligata alla nomina di un DPO o non sai se l’obbligo vale anche per te e vuoi saperne di più? Contatta AgilePDO per una valutazione della tua compliance al GDPR.