Il Gruppo di lavoro “articolo 29” della Commissione europea – organismo consultivo istituito dall'art. 29 Direttiva 95/46/CE sulla privacy - ha adottato, il 13 dicembre 2016, le Linee Guida atte a fornire chiarimenti sulla figura del data protection officier (anche detto Dpo), ed in particolare, in quali casi deve essere nominato il responsabile, quali sono i suoi requisiti, quali le sue competenze e responsabilità.
Il Dpo – figura resa ufficiale dal nuovo Regolamento europeo sulla protezione dei dati personali del 27 aprile 2016 – ha compiti consultivi, di assistenza e vigilanza circa il rispetto della disciplina del suddetto Regolamento privacy.
La nomina del Dpo si rende necessaria per tutti gli enti pubblici e soggetti privati che effettuano monitoraggio di persone o trattano dati sensibili su larga scala.
Il citato Regolamento europeo, tuttavia, risulta sul punto piuttosto vago, non riportando alcuna definizione del concetto di “larga scala”.
A tal proposito, le presenti Linee Guida forniscono alcuni chiarimenti, ad esempio, elencando degli indici generali per individuare il requisito della larga scala (il numero, il volume e la tipologia dati trattati, la durata e l’ambito geografico del trattamento).
Sono inoltre riportati alcuni esempi di trattamenti su larga scala, come gli ospedali, i sistemi di trasporto pubblico, le catene commerciali internazionali, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazione, alcuni motori di ricerca per trattamento di dati finalizzato alla pubblicità.
Tra gli ulteriori esempi ove, invece, non sussiste il requisito della larga scala, figurano i singoli medici nel trattamento dei dati dei propri pazienti, ovvero i singoli avvocati, riguardo al trattamento di dati relativi a condanne o violazioni penali dei loro clienti.
Riguardo alle competenze dei Dpo – specificano le Linee Guida – è importante che esse siano estese alla normativa nazionale ed europea (con specifica conoscenza del Regolamento privacy), nonché alle prassi in materia di protezione dei dati personali. Altrettanto importante è la conoscenza del settore commerciale del titolare del trattamento, del sistema informativo, della sicurezza ed esigenza di protezione dei vari dati. Se trattasi, infine, di Dpo presso enti pubblici, necessita anche una solida conoscenza circa l’ordinamento e l’organizzazione delle pubbliche amministrazioni.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".