Il DPO, acronimo di Data Protection Officer, è una nuova figura che è stata introdotta con il regolamento dell’ Unione Europea 2016/679. In Italia è meglio riconosciuta come RPD ovvero il Responsabile della Protezione dei Dati. Tale regolamento è meglio conosciuto come GDPR, la legge che salvaguardia i dati personali di tutti i cittadini che fanno parte della comunità europea.
Il DPO ha la mansione di tutelare e risolvere i problemi per quanto riguarda i trattamento dei dati personali in un’ azienda. Infatti, questa figura, può essere sia un dipendente interno che un consulente esterno e deve avere tutte le conoscenze sia di norme che di gestione riguardo all’ argomento privacy.
Il Tar del Friuli-Venezia Giulia nella sentenza del 287/2018 ha affermato che la figura del DPO è prevalentemente giuridico questo perché un’ azienda sanitaria aveva richiesto che per diventare DPO si doveva avere una certificazione Auditor ISO 27001. Il Tar ha comunicato che non può essere limitato ai soli giuristi ma che comunque si devono avere conoscenze in questo campo.
La nomina del DPO è da considerarsi obbligatoria sia per i pubblici che per i privati, infatti, come comunicato dalle Autorità Garanti sono tenuti alla nomina di questa figura:
- concessionari di servizi pubblici, tra cui, la raccolta di rifiuti, i servizi idrici e i trasporti pubblici comunali.
- Aziende di assicurazioni.
- Società finanziare.
- Istituti di credito.
- Società contabile.
- Caf e Patronati.
- I partiti e i movimenti politici.
- Le società che operano nel campo delle forniture di prima necessita, gas, luce, telecomunicazione.
- Società che si occupano del call center.
- Aziende che si occupano della salute.
Dopo che il DPO ha avuto la nomina da parte del titolare del trattamento, i suoi dati devono essere comunicati alle autorità così che nel caso ci fossero problemi di qualsiasi tipo quest’ultimi possono contattarlo direttamente.
Quali sono le sanzioni per l’azienda
Come è stato detto in precedenza il DPO è obbligatorio, infatti, per le aziende che non nominano questa figura sono previste delle sanzioni molto salate. Le sanzioni per l’azienda possono arrivare fino a 10 milioni di euro o il 2% del volume di affari annuo come previsto ai sensi dell’ articolo 83 comma 4 lettera a del GDPR.
Per quanto riguarda gli altri paesi europei, come per esempio in Germania, la nomina del DPO può essere sia facoltativa che obbligatoria tutto dipende da quante persone si occupano dei dati. Infatti, in questo paese è obbligatoria la figura del DPO quando ci sono almeno 20 persone che si occupano dei dati personali.
Inoltre, il DPO oltre ad avere delle competenze per le norme e per le gestioni dei dati, non deve avere altri compiti all’interno dell’azienda. Inoltre, deve essere autonomo senza avere nessuno che gli dica cosa deve fare.
Le sanzioni per il DPO all’estero
In Germania c’è stato un caso in cui il DPO di un e-commerce tedesco era anche un amministratore delegato di altre due aziende che esaminano i dati personali dell’azienda in cui faceva il DPO. Appena scoperto le autorità hanno dichiarato:
Il DPO doveva quindi vigilare sul rispetto della normativa in materia di protezione dei dati da parte delle società di servizi attive nell’ambito dell’elaborazione degli ordini, che lui stesso gestiva in qualità di amministratore delegato.
In questo caso, il DPO ha avuto un conflitto di interesse quando la notizia è stata comunicata all’ e-commerce, quindi tale persona ha violato una degli articolo del GDPR ne 2021. Nel 2022 le autorità garanti hanno notato altre violazioni gli hanno comunicato una pesante sanzione, la quale non è definita ed ammonta a 525 mila euro. Infatti, per questo caso hanno affermato Volker Brozio capo delle autorità tedesche:
Questa multa sottolinea l’importante ruolo dei responsabili della protezione dei dati all’interno dell’azienda. Un DPO non può da un lato monitorare il rispetto della legge sulla protezione dei dati e, dall’altro, avere voce in capitolo.
Il prezzo della sanzione che è di 525 mila euro è stata data per molti elementi tra cui: il fatturato dell’azienda. Questo perché l’azienda ha molti clienti e dipendenti e quindi molti dati da dover tutelare. Un altro fattore è stato che nonostante la comunicazione ufficiale del responsabile della protezione dei dati questo è stato incaricato ugualmente per ricoprire tale carica.
Quindi con questo provvedimento, si deve stare attenti e controllare sempre se possono esserci dei conflitti di interesse.
Photo credits : Pixabay