La normativa fissa la protezione dei dati come un problema generale di alta priorit\u00e0, e obbliga le organizzazioni ad affrontare seriamente la protezione dei dati in maniera\u00a0consapevole, delineando gli strumenti e le strategie per organizzarsi in modo coerente e contribuire per contrastare questa situazione di rischio generale.
\nIl GDPR definisce un approccio per la creazione di un sistema di protezione delle informazioni in cui la sicurezza \u00e8 un valore predefinito, costantemente mantenuto sin dalla progettazione di un processo, basato sulla prevenzione e sulla consapevolezza. Uno dei principali strumenti per governare questo sistema \u00e8 il responsabile della protezione dei dati – DPO.
\nSecondo le migliori pratiche, la designazione del DPO deve essere preceduta da un’attenta analisi documentata. Questa valutazione dovrebbe evidenziare gli aspetti legati alle responsabilit\u00e0 di tale ruolo, conflitti di interesse, costi e benefici.
\nIl DPO, infatti, non pu\u00f2 ricoprire\u00a0una posizione nella societ\u00e0 che lo potrebbe portare ad un conflitto di interessi (GDPR Sez.4, Art. 38). In particolare, non pu\u00f2 essere responsabile per le attivit\u00e0 che contribuiscono alla definizione e gestione delle politiche di sicurezza del trattamento dei dati. Pertanto egli non \u00e8 idoneo a ricoprire un ruolo di responsabilit\u00e0 diretta in materia di protezione dei dati.
\nLa responsabilit\u00e0 per la protezione dei dati personali ricade sul Titolare\u00a0(GDPR, Art.24) e sul Responsabile di Trattamento (GDPR, Art. 82).
\nIl DPO deve essere una figura che possiede una visione\u00a0di alto livello. Egli pu\u00f2 essere un dipendente dell’organizzazione o un esterno regolarizzato mediante un contratto specifico (Linee guida WP29 sui responsabili della protezione dei dati, Art. 2.4).
\nCome gi\u00e0 ricordato, l’adozione di un DPO, interno o esterno, pu\u00f2 dipendere da fattori quali la dimensione dell’azienda, l’esistenza delle competenze richieste gi\u00e0 all’interno dell’organizzazione, l’esperienza e la cultura interna della privacy.
\nIn aziende sanitarie di una certa dimensione e in cui vi \u00e8 una maggiore cultura e consapevolezza in materia di protezione dei dati, la scelta del\u00a0DPO deve ricadere su figure interne\u00a0gi\u00e0 esistenti, che possiedano competenze acquisite nel corso degli anni nel settore sanitario, in possesso di accreditamenti e certificazioni specifiche per il governo sicuro delle informazioni.<\/p>\n
Il DPO \u00e8 un attore significativo che svolge molteplici funzioni (GDPR, Art. 39):
\n– informare e consigliare gli attori che svolgono il trattamento dei loro obblighi in materia di protezione dei dati personali;
\n– monitorare la conformit\u00e0, in particolare con il GDPR e con specifiche normative in materia di dati sanitari personali;
\n– attivare il Titolare ed il Responsabile di Trattamento per\u00a0svolgere Data Protection Impact Assessment\u00a0e monitoraggio (GDPR, Art. 35);
\n– cooperare con l’autorit\u00e0 Garante. Il DPO \u00e8 l’interfaccia per chiedere pareri ufficiali e segnalare eventuali violazioni significative.<\/p>\n
Il DPO gioca in una posizione strategica: deve essere una figura autorevole che ispira fiducia all’interno dell’azienda e anche all’esterno. Non un mero prestanome, ma un attore preparato in grado di capire i regolamenti e le tecnologie, con un background professionale certificato,\u00a0in grado di sapere relazionarsi correttamente con l’organizzazione. Un protagonista fondamentale per la crescita dell’azienda.
\nIl costo di un responsabile della protezione dei dati in un’organizzazione sanitaria pu\u00f2 iniziare da 80.000 EUR \/ anno, oltre a tutte le risorse necessarie per la sua sostenibilit\u00e0. Per svolgere i suoi compiti, il DPO deve tenere conto dello stato dell\u2019arte e dei costi di attuazione, sfruttando le risorse gi\u00e0 esistenti in azienda (GDPR, Art. 32 comma 1).\u00a0Non nominare\u00a0il DPO prevede sanzioni fino a 10 milioni di euro (GDPR, Art. 83 comma 4).
\nPur non avendo una responsabilit\u00e0 diretta per la gestione delle politiche di dati, \u00e8 molto probabile che il DPO possieda una responsabilit\u00e0 civile e contrattuale nei confronti della societ\u00e0 da cui dipende, in quanto le attivit\u00e0 da lui previste hanno un impatto diretto sui processi e sul livello generale di conformit\u00e0.
\nIn ogni caso, \u00e8 impossibile acquisire le competenze di un DPO con un corso di formazione di tre o quattro giorni. Anche per questo motivo, le organizzazioni sanitarie devono scegliere questo attore consapevolmente.<\/p>","protected":false},"excerpt":{"rendered":"
La normativa fissa la protezione dei dati come un problema generale di alta priorit\u00e0, e obbliga le organizzazioni ad affrontare seriamente la protezione dei dati in maniera\u00a0consapevole, delineando gli strumenti e le strategie per organizzarsi in modo coerente e contribuire per contrastare questa situazione di rischio generale. Il GDPR definisce un approccio per la creazione\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":170,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[9,10,150],"class_list":["post-2268","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","tag-data-protection-officer","tag-dpo","tag-healthcare"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/170"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2268"}],"version-history":[{"count":17,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2268\/revisions"}],"predecessor-version":[{"id":2312,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2268\/revisions\/2312"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}