La recente entrata in vigore del GDPR ha imposto alle aziende di adottare una serie di misure per proteggere e gestire al meglio le informazioni di terzi che si trovano a trattare. Tra queste vi è, in alcuni casi specifici, la nomina di un Responsabile per la Protezione dei Dati Personali (Data Protection Officer o DPO) e, per rispondere a questa necessità, Axitea ha lanciato il servizio di DPO as a Service.

Il servizio consiste nella possibilità da parte del cliente (aziende grandi e piccole ma anche amministrazioni pubbliche) di rivolgersi a degli specialisti al fine di individuare, senza particolari gravosità organizzative ed economiche, un DPO. Si tratta di una figura esperta nella protezione dei dati, il cui compito è di aiutare il titolare del trattamento (l’azienda) a valutare e organizzare la gestione del trattamento di dati personali e la loro protezione, affinché questi siano trattati in modo lecito, pertinente, trasparente e con le opportune misure di garanzia e di riservatezza.

“La necessità di rispettare una normativa estesa e articolata come il GDPR ha portato molte organizzazioni a rivedere i propri processi di trattamento e gestione dei dati e a dotarsi di competenze non necessariamente presenti in azienda. Avere a disposizione un DPO rappresenta per queste aziende un vantaggio indiscusso, al tempo stesso organizzativo ed economico, rendendo di fatto variabile la componente di costo associata alla conformità” spiega Andrea Lambiase, Head of Management Consulting presso Xecurity.

DPO

Il DPO fornito da Axitea svolgerà sotto forma di servizio erogato presso il cliente e da remoto le attività che il Garante Europeo richiede alle aziende che, per necessità o volontariamente, decidono di implementare il ruolo in oggetto. Nello specifico i suoi compiti sono:

• Informare e consigliare le organizzazioni ed i loro dipendenti sui loro obblighi derivanti dal GDPR e dalla normativa nazionale
• Sorvegliare l’osservanza del GDPR e delle policies interne in materia di data protection, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit
• Fornire, se richiesto, un parere sulla valutazione d’impatto del trattamento sulla protezione dei dati e sorvegliarne lo svolgimento
• Cooperare con le autorità di controllo e fungere da loro punto di contatto per facilitare l’accesso, da parte di queste, ai documenti ed alle informazioni necessarie per lo svolgimento dei compiti del Data Protection Officer, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi alle stesse attribuite dal GDPR.

La normativa GDPR individua inoltre i tre casi in cui la nomina è obbligatoria:

• Quando il trattamento è svolto da un’autorità pubblica o da un organismo pubblico
• Quando le attività principali (o primarie) dell’organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
• Quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati sensibili (condizioni di salute, orientamento sessuale, etc.) o dati giudiziari (relativi a condanne penali e reati)