GDPR e DPO: evita le sanzioni, adeguati
A partire dal 25 maggio 2018 sarà introdotta la figura del Data Protection Officer (DPO), prevista dal Regolamento generale sulla protezione dei dati (GDPR), che sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea. Il GDPR affida difatti la responsabilità del trattamento dei dati al DPO (Data Protection Officer), imponendone la nomina per le aziende che hanno come core business l’elaborazione dei dati. La responsabilità principale del DPO sarà quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali all’interno di un’azienda, pubblica o privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO potrà rimanere in carica, come minimo, due anni, rinnovabili alla scadenza.
Il DPO sarà obbligatorio e la mancata nomina può costare caro: fino a 10 milioni di euro; o, se superiore, per le imprese, fino al 2% del fatturato totale annuo. L’obbligo è previsto nel caso in cui il trattamento dei dati personali sia effettuato:
- da una pubblica amministrazione o da un suo organismo
- da società con più di 250 dipendenti
- da aziende, le cui attività principali siano costituite da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari.
Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati imponendo e prevedendo le seguenti principali novità:
- l’estensione del perimetro del dato;
- l’obbligatorietà dell’introduzione di valutazioni di impatto del rischio sulla privacy;
- la previsione della figura del DPO (Data Protection Officer);
- l’obbligo di notifica e l’introduzione di sanzioni, in caso di violazioni dei dati.
GCERTI ITALY propone 3 servizi inerenti alla pubblicazione del nuovo GDPR:
- Audit di conformità/certificazione per le Aziende. Il Regolamento prevede espressamente le certificazioni di parte terza come garanzia dello stato di conformità dell’impresa, atto di diligenza verso le parti interessate e opportune per un miglioramento continuo della gestione dei dati nelle imprese;
- Formazione sul Nuovo Regolamento;
- Certificazione delle competenze per il ruolo di Data Protection Officer (DPO).