Sempre rispondo prima di tutto quali sono le caratteristiche che deve avere un DPO e cosa deve fare.
Se questo viene capito dall'Azienda e se è necessario nominare un DPO, allora iniziamo a parlare cosa posso fare per loro e quindi di costi.
Il responsabile della protezione dei dati è un professionista, non un software!Cominciamo a dire chi è il DPO, o meglio, il RDP in italiano:
PROFILO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI- RDP.
Il RDP è un professionista, quindi non è un'azienda, i cui compiti sono definiti all'articolo 39-Compiti del responsabile della protezione dei dati del Regolamento (UE) n. 679/2016 e che è responsabile dell'applicazione della legislazione in materia di privacy e protezione dei dati.
Il responsabile della protezione dei dati eseguirà almeno le seguenti attività :
- informare e consigliare il responsabile del trattamento o l'incaricato del trattamento e i dipendenti che trattano i dati degli obblighi loro incombenti ai sensi del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri;
- vigila sull'osservanza delle disposizioni del regolamento e di altre disposizioni sulla protezione dei dati nell'Unione europea o negli Stati membri e delle politiche del responsabile del trattamento o dell'incaricato del trattamento in relazione alla protezione dei dati personali;
- sovrintende all'assegnazione delle responsabilità ;
- supervisiona la sensibilizzazione e la formazione del personale che partecipa alle operazioni di trattamento;
- supervisiona i relativi controlli;
- offre consulenza, se richiesta, in merito alle valutazioni d'impatto sulla protezione dei dati;
- vigila sulla loro applicazione in conformità all'articolo 35-Valutazione d’impatto sulla protezione dei dati del Regolamento;
- coopera con l'autorità di controllo;
- funge da punto di contatto con l'autorità di vigilanza per le questioni relative al trattamento dei dati, compresa la consultazione preliminare di cui all'articolo 36-Consultazione preventiva, e
- consulta l'autorità di controllo, a seconda dei casi, su qualsiasi questione.
Per fare ciò, deve essere in grado di:
- raccogliere informazioni per identificare le attività di trattamento,
- analizzare e verificare la conformità delle attività di trattamento e
- informare, consigliare e formulare raccomandazioni al Titolare o al responsabile.
- raccogliere informazioni per controllare il Registro delle attività di trattamento.
- fornire consulenza sull'applicazione del principio della protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default).
- avvisare su:
- se una valutazione d'impatto sulla protezione dei dati debba essere effettuata o meno
- quale metodologia dovrebbe essere seguita quando si effettua un valutazione di impatto sulla protezione dei dati
- se una valutazione di impatto sulla protezione dei dati debba essere effettuata internamente o esternalizzarla
- quali garanzie (comprese le misure tecniche e organizzative) da applicare al fine di mitigare qualsiasi rischio per i diritti e la libertà degli interessati
- se la valutazione dell'impatto sulla protezione dei dati sia stata eseguita correttamente o meno
- se le sue conclusioni (se continuare con il trattamento o meno e quali salvaguardie dovrebbe essere applicate) sono conformi al regolamento.
- dare la priorità alle loro attività e concentrare i loro sforzi su quelle questioni che rappresentano un rischio maggiore in termini di protezione dei dati.
- consigliare il responsabile del trattamento dei dati su:
- quale metodologia dovrebbe essere utilizzata quando si effettua una valutazione di impatto sulla protezione dei dati
- quali aree dovrebbero essere soggette a un audit interno o esterno sulla protezione dei dati ,
- quali attività di formazione interna dovrebbero essere fornite al personale o ai dirigenti responsabili per le attività di trattamento dei dati e a quali attività di trattamento dati dovrebbe essere dedicato più tempo e le risorse.
COMPETENZE RICHIESTE AL RESPONSABILE DELLA PROTEZIONE DEI DATI.
Il responsabile della protezione dei dati deve avere esperienza sulla conoscenza della protezione dei dati e delle pratiche. Di seguito sono identificate le conoscenze, le competenze e le abilità che il DPO deve conoscere o i compiti che deve svolgere.
Professionista con conoscenze, competenze e abilitÃQueste funzioni generiche del DPO possono essere riassunte come attività di consulenza e supervisione nelle seguenti aree, tra cui:
- Rispetto dei principi relativi al trattamento, come la limitazione delle finalità , la minimizzazione dei dati o l'accuratezza
- Individuazione della base legale per il trattamento dei dati
- Valutazione della compatibilità di finalità diverse da quelli che hanno dato origine alla raccolta iniziale dei dati
- Determinare se una normativa di settore può determinare condizioni specifiche di trattamento di dati diverse da quelle stabilite dalle norme generali sulla protezione dei dati
- Progettazione e attuazione di misure per fornire informazioni agli interessati
- Stabilire meccanismi per ricevere e gestire le richieste per esercitare i diritti degli interessati
- Valutare le richieste per esercitare i diritti degli interessati
- Assunzione di responsabili, compreso il contenuto dei contratti o dei documenti legali per regolare la relazione tra titolare e responsabile
- Identificare gli strumenti internazionali di trasferimento dati che sono adatti ai bisogni e caratteristiche dell'organizzazione e le ragioni che giustificano il trasferimento
- Progettazione e attuazione di politiche di protezione dei dati
- Audit sulla protezione dei dati
- Creazione e gestione di un registro delle attività di trattamento
- Analisi dei rischi delle operazioni di trattamento effettuate
- Attuazione delle misure di protezione dei dati fin dalla progettazione (by design) e protezione per impostazione predefinita (by default) che sono adatte per i rischi e la natura delle attività di trattamento
- Implementazione di misure di sicurezza adeguate ai rischi e alla natura delle attività di trattamento
- Stabilire procedure per gestire le violazioni della sicurezza dei dati, inclusa la valutazione del rischio ai diritti e alle libertà degli interessati e delle procedure per notificare alla autorità di vigilanza competente e agli interessati
- Determinazione della necessità di effettuare valutazioni d'impatto sulla protezione dei dati
- Esecuzione di valutazioni d'impatto sulla protezione dei dati
- Rapporti con le autorità di vigilanza
- Attuazione di programmi di formazione e sensibilizzazione per il personale sulla protezione dei dati.
Ovviamente, per rispetto dei colleghi professionisti, non posso pubblicare il mio tariffario, ma sarò ben lieto di parlarne di persona.