Sappiamo quanto la protezione dei dati degli utenti oggi sia cruciale per evitare brutte avventure come truffe di dati personali, hackeraggio di dati sensibili, clonazioni di carte di credito e così via. A questo proposito pertanto il Regolamento europeo in materia di dati personali (noto con l’acronimo GDPR) ha messo a disposizione due figure professionali per tutelare proprio questi dati. Tali figure sono quella del consulente e quella del DPO, cioè del responsabile della protezione dei dati (Data Protection Officer). Quando servono queste due figure? In quali casi ci si può affidare solo ad un consulente e in quali altri è invece necessario un DPO oppure entrambe le figure? Vediamolo insieme agli esperti di consulenza sulla privacy a Udine di SINE Sicurezza.
In quali casi è necessaria la presenza del DPO
Lo stesso Regolamento europeo, all’articolo 37 del documento, definisce in quali casi è necessaria la presenza del DPO, che deve essere stabilita dal titolare e dal responsabile del trattamento. Ciò si verifica in tre casi:
- Quando il trattamento dei dati viene affidato ad un’autorità o ad un organismo pubblico (con l’eccezione delle forze dell’Ordine e delle autorità che portano avanti funzioni giurisdizionali);
- Quando le attività principali del titolare del trattamento dei dati richiedono un monitoraggio costante;
- Quando le attività principali del titolare del trattamento dei dati si riferiscono a categorie particolari di persone o hanno a che fare con dati relativi a condanne penali.
Non in tutti i casi dunque il Regolamento Europeo in questa materia impone la nomina di un DPO. Se lo si desidera, però, si può procedere ad una nomina su base volontaria, quando questa si configura come fortemente raccomandata. In questi casi la nomina di un DPO può anche contribuire ad aumentare il margine competitivo delle imprese.
In quali casi serve invece il consulente e perché sarebbe meglio usufruire di entrambe le figure
Ci sono casi in cui invece ci si può avvalere di un consulente esperto in materia, soprattutto quando non si conoscono bene le normative entro le quali bisognerà rientrare e per prevenire eventuali sanzioni causate proprio dalla mancata conoscenza della materia. Un consulente perciò sviluppa e prepara tutta la documentazione adatta per le procedure della privacy, informative, disciplinari, registri, valutazione dei rischi, gestione dei ruoli, etc. Va da sé, dunque, che la presenza di un consulente è importantissima per il titolare del trattamento dei dati personali. Ciò è vero in particolar modo per le organizzazioni aziendali, indipendentemente dalla loro dimensione, che dovranno avere al loro interno del personale adeguatamente formato su questa materia, ed avvalersi, preferibilmente, tanto del consulente quanto del DPO. Quest’ultimo, esterno oppure interno, servirà a supervisionare tutto il Regolamento europeo e a garantire che venga rispettato. Il DPO sarà quindi affiancato, per meglio svolgere le sue mansioni, dal consulente, professionista della privacy.
Cosa succede se non ci si dota di professionisti per tutelare Regolamenti e Privacy? Ecco le sanzioni
Il mancato rispetto della normativa in termini di privacy e protezione di dati personali degli utenti, e di conseguenza il non seguire il Regolamento Europeo, comporta delle dure sanzioni per i trasgressori, sia pecuniarie che penali. Ecco le più importanti:
- Le sanzioni amministrative pecuniarie ammontano fino a 20 milioni di euro (commutabili al 4% di fatturato annuo per le imprese se superano questa cifra);
- Le sanzioni penali in Italia, per i reati connessi alla privacy, prevedono il carcere fino a 6 anni.
In sintesi fino ad oggi in tutta Europa e a partire dalla data di entrata in vigore del GDPR, Regolamento Europeo, le sanzioni pecuniarie che sono state inflitte dalle autorità di controllo ammontano a 1,5 miliardi di euro. Una cifra davvero impressionante e che bisogna far diminuire nei prossimi anni.
