Il corretto approccio al GDPR è certamente quello di comprendere la cultura della protezione dei dati come parte integrante dell’intero asset informativo dell’organizzazione.

Il GDPR obbliga a prevenire e mitigare i rischi secondo un approccio proattivo, questo significa da una parte certamente tutelare i diritti  e le libertà degli interessati, ma anche e soprattutto valutare preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione e sulla continuità operativa dell’organizzazione.

Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organizzazione, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

 

KEY POINTS: Data Protection Officer

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

Lo stesso DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Il Data Protection Officer deve necessariamente essere coinvolto il prima possibile in ogni questione attinente la protezione dei dati.

Assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamento e il rispetto del principio di privacy (e protezione dati) by design. Per questo motivo i Garanti europei consigliano che questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile. Inoltre, è importante che il DPO sia annoverato fra gli interlocutori all’interno della struttura suddetta e partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.

La tua organizzazione ha già individuato il proprio Data Protection Officer?