{"id":51538,"date":"2018-04-26T17:48:00","date_gmt":"2018-04-26T16:48:00","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=51538"},"modified":"2022-12-07T10:48:42","modified_gmt":"2022-12-07T09:48:42","slug":"dpo-data-protection-officer","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/dpo-data-protection-officer\/51538\/","title":{"rendered":"DPO, Data Protection Officer. Chi \u00e8, cosa fa e come scegliere il migliore"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69fcb3c6bce2c\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69fcb3c6bce2c\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/dpo-data-protection-officer\/51538\/#Il_Data_Protection_Officer_o_DPO_quando_e_obbligatorio_e_cosa_deve_sapere_fare\" >Il Data Protection Officer o DPO: quando \u00e8 obbligatorio e cosa deve sapere fare<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/dpo-data-protection-officer\/51538\/#Come_nominare_la_figura_del_DPO\" >Come nominare la figura del DPO<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/dpo-data-protection-officer\/51538\/#Cosa_deve_fare_un_buon_DPO\" >Cosa deve fare un buon DPO?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/dpo-data-protection-officer\/51538\/#La_responsabilita_del_DPO_in_azienda\" >La responsabilit\u00e0 del DPO in azienda<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p>Il prossimo 25 maggio entrer\u00e0 in vigore anche in Italia il <strong>GDPR<\/strong>, il nuovo <strong>regolamento della privacy<\/strong> cos\u00ec come richiesto dalla <strong>Comunit\u00e0 Europea<\/strong>: aziende e pubbliche amministrazioni sono costrette, entro quel termine, ad adeguarsi e recepire il <strong>Regolamento (UE) 2016\/679<\/strong>.<\/p>\n<p>Una delle figure centrali di questi cambiamenti \u00e8 il <strong>DPO<\/strong>, o <strong>Data Protection Officer<\/strong>, una figura designata dal titolare o dal responsabile al trattamento dati, che deve formare e informare i collaboratori di una azienda sul regolamento GDPR e sulle norme da seguire. La sua figura \u00e8 quella che crea pi\u00f9 perplessit\u00e0 alle aziende: si tratta di una figura obbligatoria? E quali sono i suoi compiti?<\/p>\n<blockquote>\n<p style=\"text-align: center;\"><a href=\"https:\/\/expoitalyadv.it\/gdpr-norma\/\"><strong>Vuoi adeguare la tua azienda e il tuo sito alla GDPR? Chiedi senza impegno ai nostri esperti di normative europee<\/strong><\/a><\/p>\n<\/blockquote>\n<figure id=\"attachment_51545\" aria-describedby=\"caption-attachment-51545\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51545 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/04\/dpo5.jpg\" alt=\"\" width=\"780\" height=\"430\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo5.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo5-300x165.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo5-768x423.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51545\" class=\"wp-caption-text\">La figura del dpo \u00e8 obbligatoria per le pubbliche amministrazione e per le aziende secondo specifici parametri.<\/figcaption><\/figure>\n<p>Il DPO, per ci\u00f2 che concerne l\u2019Italia, \u00e8 una figura nuova nell\u2019ambito del <strong>trattamento dei dati<\/strong>: fino a questo momento non era richiesto n\u00e9 alle aziende n\u00e9 alle pubbliche amministrazioni di selezionare del personale che si occupasse di verificare che tutto ci\u00f2 relativo alla privacy occorresse seguendo le normative vigenti. Una differenza molto sensibile rispetto a quello che accade in buona parte degli altri Stati membri e della Germania: il suo responsabile per la protezione dei dati \u00e8 stato infatti preso ad esempio e modificato per dare vita all\u2019esperto richiesto dalla Comunit\u00e0 Europea.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"Il_Data_Protection_Officer_o_DPO_quando_e_obbligatorio_e_cosa_deve_sapere_fare\"><\/span>Il Data Protection Officer o DPO: quando \u00e8 obbligatorio e cosa deve sapere fare<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Sebbene il <strong>regolamento<\/strong> indichi in quali casi il Dpo debba essere ritenuto obbligatorio o meno molte aziende faticano a comprendere quale sia il loro ruolo in tal senso: ragione per la quale \u00e8 necessario fare chiarezza.<\/p>\n<p>La figura del Dpo \u00e8 obbligatoria da regolamento per:<\/p>\n<ul>\n<li>Enti pubblici<\/li>\n<li>Aziende private dove si richieda il \u201cmonitoraggio sistematico su larga scala\u2033<\/li>\n<li>Aziende private dove avviene il \u201ctrattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati\u2033.<\/li>\n<\/ul>\n<p>Per ci\u00f2 che riguarda le<strong> pubbliche amministrazioni<\/strong> essa deve essere nominata e sfruttata per verificare che i processi in atto nella stessa seguano il GDPR, pena sanzioni anche gravi. Essa deve essere istituita poi, come anticipato, dalle aziende che lavorano su grandi quantit\u00e0 di <strong>dati sensibili<\/strong> di utenti e che eseguono monitoraggio degli stessi su larga scala. Non \u00e8 stato precisato esattamente che cosa venga inteso con &#8220;vasta scala&#8221;, ma in linea generale, aziende che trattano dati dal livello regionale in su, possono ritenersi coinvolte.<\/p>\n<p>Allo stesso modo, sono obbligate ad avere un DPO anche aziende che maneggiano tipologie di dati particolari, che sono: razza, opinioni politiche, orientamenti religiosi o filosofici, dati biometrici, dati sulla salute, tendenze e informazioni sessuali, o informazioni relative alla legge.<\/p>\n<blockquote>\n<p style=\"text-align: center;\"><a href=\"https:\/\/expoitalyadv.it\/gdpr-norma\/\"><strong>Vuoi adeguare la tua azienda al GDPR? Adeguamento completo chiavi in mano svolto dai nostri esperti.<br \/>\nChiedi gratuitamente un piano completo<\/strong><\/a><\/p>\n<\/blockquote>\n<p>Un esempio di obbligatoriet\u00e0 della presenza di questa figura? E\u2019 data da <strong>banche<\/strong> ed <strong>assicurazioni<\/strong>: la tipologia di clientela ed i loro dati sensibili rendono necessaria una risorsa in grado di controllare che tutto venga svolto secondo i dettami europei.<\/p>\n<p>Prima del 2012 e negli anni precedenti alla preparazione del nuovo regolamento entrato in vigore nel 2016, i parametri sui quali si basava la necessit\u00e0 del Dpo erano essenzialmente il numero di dipendenti della societ\u00e0 ed il numero di clienti interessati: il nuovo Regolamento sulla Privacy ha eliminato questo approccio, spesso troppo insicuro e non risolutivo, dando spazio ad una struttura meglio definita. Un percorso in qualche modo per\u00f2 ancora incompleto e gi\u00e0 ora sottoposto a diverse correzioni, attraverso circolari dedicate ed i consigli del<strong> Gruppo europeo dei Garanti ex art. 29<\/strong> il quale ha composto delle <strong>linee guida<\/strong> dedicate rispondendo ai principali quesiti che le aziende si pongono in base o meno all\u2019obbligatoriet\u00e0 di nomina della figura e del suo ruolo.<\/p>\n<p>Se le aziende ritengono di non avere l\u2019obbligo di nominare un data protection officer devono essere in grado di poterlo dimostrare legalmente attraverso la presentazione di documentazione dedicata. In alternativa sono tenute a nominare un DPO e a comunicare il suo nome al Garante per la Privacy.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Come_nominare_la_figura_del_DPO\"><\/span>Come nominare la figura del DPO<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Una volta stabilit\u00e0 l\u2019obbligatoriet\u00e0 della nomina del Dpo \u00e8 importante comprendere come regolarsi per la sua scelta: diverse tipologie di aziende richiederanno una <strong>selezione<\/strong> diversa sia nella preparazione generale che nella gestione dei dati. Ci\u00f2 che non bisogna mai dimenticare \u00e8 che il Dpo \u00e8 un <strong>supervisore indipendente<\/strong> e che come tale deve eseguire il suo compito, senza pressioni o possibili conflitti di interessi.<\/p>\n<figure id=\"attachment_51542\" aria-describedby=\"caption-attachment-51542\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51542 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/04\/dpo4.jpg\" alt=\"\" width=\"780\" height=\"430\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo4.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo4-300x165.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo4-768x423.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51542\" class=\"wp-caption-text\">La figura del dpo deve essere scelta in base alle capacit\u00e0 della risorsa ed in merito alla conoscenza della materia nel proprio campo di applicazione.<\/figcaption><\/figure>\n<p>Sebbene il data protection officer possa essere una singola persona all&#8217;interno dell&#8217;azienda, il regolamento permette di nominare anche una persona esterna, o una intera impresa esterna facente funzioni di DPO. Ci\u00f2 che \u00e8 importante \u00e8 che gli incaricati sia in grado di agire indipendentemente nel controllo del trattamento dei dati senza subire pressioni da parte del responsabile e del titolare. E\u2019 quindi bene accetta la creazione di modelli organizzativi che comprendano una figura principale che gestisce uffici dedicati, soprattutto per <a href=\"https:\/\/www.alground.com\/origin\/microsoft-google-apple\/51090\/\">grandi aziende<\/a> dalle diverse responsabilit\u00e0.<\/p>\n<p>Per ci\u00f2 che concerne i suoi titoli, il Regolamento (UE) 2016\/679 non \u00e8 entrato nel merito, nel tentativo di non limitare la scelta da parte delle aziende di una figura preparata nel proprio settore di appartenenza e per evitare il pi\u00f9 possibile che un potenziale <strong>conflitto di interessi<\/strong> portasse ad uno sfruttamento illecito di tale figura: in Germania \u00e8 gi\u00e0 accaduto che un Dpo interno si trovasse a dover controllare il proprio lavoro in impresa.<\/p>\n<p>E\u2019 importante comunque che il DPO conosca alla perfezione non solo il Regolamento Europeo GDPR ma anche le principali norme che regolano la privacy anche a livello internazionale e che sia in grado di mantenere un <strong>comportamento proattivo,\u00a0<\/strong>che mira a stabilire delle regole generali,\u00a0e che sia in contatto con il\u00a0<a href=\"https:\/\/www.alground.com\/origin\/legge-cookie-garante-risponde-esempi\/42181\/\">Garante.<\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Cosa_deve_fare_un_buon_DPO\"><\/span>Cosa deve fare un buon DPO?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La figura del data protection officer necessita di chiarimenti anche per ci\u00f2 che concerne i compiti di cui la stessa dovr\u00e0 occuparsi. Essi possono essere essenzialmente spiegati in quattro punti ben precisi:<\/p>\n<ul>\n<li>consigliare ed informare le imprese ed i loro dipendenti sugli obblighi legati al GDPR ed alla normativa nazionale<\/li>\n<li>sorvegliare che il GDPR venga osservato e controllare le politiche interne di data protection, comprese la sensibilizzazione e la formazione del personale e l\u2019attribuzione delle responsabilit\u00e0<\/li>\n<li>fornire quando richiesto un parere sulle modalit\u00e0 di protezione dei dati e osservare la sua messa in atto<\/li>\n<li>cooperare con le autorit\u00e0 di controllo e funzionare da tramite per dare modo a queste di poter avere un accesso facilitato ai documenti ed alle informazioni necessarie sia per lo svolgimento del suo lavoro che ai fini di indagine.<\/li>\n<\/ul>\n<figure id=\"attachment_51540\" aria-describedby=\"caption-attachment-51540\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51540 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/04\/dpo2.jpg\" alt=\"\" width=\"780\" height=\"430\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo2.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo2-300x165.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo2-768x423.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51540\" class=\"wp-caption-text\">Per far s\u00ec che il dpo possa sempre lavorare al top \u00e8 importante che l&#8217;azienda collabori senza fare inopportune pressioni.<\/figcaption><\/figure>\n<p>In tal senso l\u2019azienda deve collaborare completamente e in ogni momento, dando al proprio Dpo l\u2019accesso anche a riunioni in corso in alti livelli manageriali: la risorsa deve poter essere informata di ci\u00f2 che accade strutturalmente e deve essere in grado di condurre senza intoppi quello che \u00e8 il suo compito di controllo e consulenza.<\/p>\n<p>Per portare avanti i suoi compiti correttamente, il DPO dovr\u00e0 controllare che tutta la documentazione aziendale sia in linea con il Regolamento Europeo ed apportare modifiche dove necessario: Ed attraverso lo studio di questionari dedicati ed interviste mirate con i dipendenti, dovr\u00e0 essere in grado di valutare al meglio la situazione e proporre interventi al <strong>management<\/strong> in grado di rendere la <a href=\"https:\/\/www.alground.com\/origin\/dipendente-dati-aziendali\/51241\/\">societ\u00e0<\/a> interessata in linea con le norme vigenti.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"La_responsabilita_del_DPO_in_azienda\"><\/span>La responsabilit\u00e0 del DPO in azienda<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Per ci\u00f2 che riguarda le sue <strong>responsabilit\u00e0<\/strong> il Dpo deve rispondere solo di quelle che possono essere potenzialmente le sue mancanze a livello contrattuale, come dipendente se eletto internamente e come collaboratore se selezionato all\u2019esterno dell\u2019azienda.<\/p>\n<figure id=\"attachment_51539\" aria-describedby=\"caption-attachment-51539\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51539 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/04\/dpo1.jpg\" alt=\"\" width=\"780\" height=\"430\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo1.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo1-300x165.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo1-768x423.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51539\" class=\"wp-caption-text\">Deve esserci sempre una netta distinzione tra le responsabilit\u00e0 del dpo e quelle dell&#8217;azienda soprattutto in materia di dati e privacy.<\/figcaption><\/figure>\n<p>Dell\u2019inadeguato trattamento dei dati \u00e8 responsabile il titolare degli stessi: ci\u00f2 che \u00e8 basilare per le imprese comprendere \u00e8 che il Dpo \u00e8 una <strong>figura di supporto<\/strong> chiamata a controllare che le procedure funzionino secondo il GDPR ed i regolamenti statali ancora attivi e non un capro espiatorio in caso di problematiche. Le decisioni in materia di trattamento dei dati ed eventuali violazioni ricadono tutte e completamente sull\u2019azienda stessa.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il prossimo 25 maggio entrer\u00e0 in vigore anche in Italia il GDPR, il nuovo regolamento della privacy cos\u00ec come richiesto dalla Comunit\u00e0 Europea: aziende e pubbliche amministrazioni sono costrette, entro quel termine, ad adeguarsi e recepire il Regolamento (UE) 2016\/679. Una delle figure centrali di questi cambiamenti \u00e8 il DPO, o Data Protection Officer, una [&hellip;]<\/p>\n","protected":false},"author":149,"featured_media":51541,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-51538","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/04\/dpo3.jpg","wps_subtitle":"La figura del data protection office diventer\u00e0 centrale con l'entrata in vigore del regolamento europeo della privacy. Cosa deve sapere, cosa deve fare e come scegliere quello adatto","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51538","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/149"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=51538"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51538\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51541"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=51538"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=51538"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=51538"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}