Circolare ai clienti regolamento UE 2016/679
Gentile cliente,
in base al regolamento UE 2016/679 (pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016) le aziende e i professionisti privati dovranno nominare entro il 25 maggio 2018 il Responsabile della Protezione dati, altrimenti detto DPO, cioè Data Protection Officer.
Entro la stessa data deve essere redatto, aggiornato e conservato un Registro del trattamento che deve essere a disposizione dell’Autorità di controllo che, tramite il registro, deve controllare la conformità dell’organizzazione alle norme del Regolamento Europeo.
Il DPO deve conoscere a fondo la normativa e la prassi sulla protezione dei dati e deve essere in grado di assolvere ai compiti dell’articolo 39 del Regolamento. A patto che abbia queste conoscenze, il DPO può essere un dipendente o una persona esterna a un’azienda. Una volta scelto, il Titolare o il Responsabile del trattamento deve pubblicare i dati relativi al Responsabile della protezione dati e deve comunicarli all’Autorità di Controllo.
Come sottolinea il garante della Privacy, il candidato al ruolo di DPO deve avere competenze ed esperienze specifiche ma non sono richiesti attestati o iscrizioni ad albi professionali particolare. I requisiti devono essere valutati tenendo presente l’ambito in cui il DPO agirà: deve conoscere la normativa del settore di riferimento e l’organizzazione aziendale.
La nomina è obbligatoria se (articolo 37 del regolamento):
– il trattamento è fatto da un’Autorità Pubblica tranne le Autorità giurisdizionali quando esercitano le proprie funzioni;
– le attività principali del Titolare o Responsabile del trattamento sono trattamenti che per natura ambito e finalità richiedono il monitoraggio su larga scala sistematico e regolare degli interessati;
– le attività principali del Titolare o Responsabile del trattamento consistono su larga scala nel trattamento di categorie particolari di dati personali (articolo 9 del regolamento) o relativi a condanne penali e reati dell’articolo 10.
Il DPO va scelto entro il 25 maggio 2018: da quella data i professionisti, le aziende e le pubbliche amministrazioni dovranno avere già applicato le prescrizioni del Regolamento europeo. Il Titolare o i Responsabile che non rispetta gli obblighi dell’articolo 37 verranno sanzionati (secondo l’articolo 83 comma 4 del Regolamento) con una multa fino a 10.000.000 di euro. Le imprese fino al 2% del fatturato mondiale annuo dell’anno precedente.