Salta al contenuto principale
Passa alla visualizzazione normale.

Protezione dati personali

Data Protection Officer

Ascolta

 

Tra le maggiori novità del Regolamento UE 2016/679 rientra sicuramente la previsione del Data Protection Officer (DPO) o Responsabile della protezione dei dati.

Secondo l’art. 37 del Regolamento il Titolare del trattamento e il Responsabile del trattamento designano sistematicamente un Responsabile della protezione dei dati (Data Protection Officer o DPO) quando:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal Titolare del trattamento che dal Responsabile del trattamento e gli interessati possono contattare il Responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento. È anche interlocutore dell'autorità di controllo (Garante per la protezione dei dati personali).

L'art. 39 del Regolamento definisce i compiti principali del Data Protection Officer. Tra i suoi doveri principali, quello di informare il Titolare e il Responsabile del trattamento e tutti i dipendenti sugli obblighi del Regolamento Europeo sulla Data Protection.

Spetta al DPO anche il compito di valutare se è opportuno condurre un Data Protection Impact Assessment (DPIA) e, nel caso, quale metodologia utilizzare per realizzarlo. Il DPIA, va ricordato, è il documento che descrive in dettaglio le modalità di trattamento utilizzate e identifica gli eventuali rischi all’integrità dei dati delle persone fisiche (clienti, fornitori, visitatori di un sito web, dipendenti,etc.) che hanno a che fare con l’organizzazione, oltre a indicare le misure tecnologiche e organizzative idonee a ridurli.

Tra le incombenze del DPO c’è anche quella, fondamentale, di sorvegliare sull’osservanza del Regolamento favorendo le iniziative di sensibilizzazione sul tema, la formazione di dipendenti e il controllo sull’adeguatezza dei piani di audit interno. 

Il Data Protection Officer dell'Università degli Studi di Palermo è il dott. Antonino Pollara.

I dati di contatto del DPO sono: dpo@unipa.it, dpo@cert.unipa.it

Con nota del Direttore Generale prot. 9605 del 7 febbraio 2018 è stato istituito un gruppo di lavoro al fine di consentire l’ottimale svolgimento dei compiti e delle funzioni assegnate al Responsabile della Protezione dati di Ateneo. In particolare, il gruppo assiste il Responsabile nelle seguenti attività:

  • predisposizione di regole o linee guida idonee a favorire l’analisi dei rischi inerenti al trattamento anche in relazione ai diversi ambiti di applicazione, ai diversi contesti efinalità del trattamento ai fini della redazione della valutazione di impatto, fornendo in merito pareri se richiesti e vigilando sulla attuazione;
  • ricognizione dei trattamenti svolti e delle loro principali caratteristiche ai fini dell’istituzione, dell’aggiornamento e della conservazione del Registro delle attività di trattamento con individuazione di idoneo software;
  • individuazione di idonee procedure organizzative per dare attuazione alle nuove disposizione sulla notifica delle violazioni dei dati personali.