Nelle attività consulenziali giornaliere presso i clienti (soprattutto quelli “potenziali”) dello Studio JooMa, abbiamo costantemente tenuta alta la nostra attenzione sull’organizzazione e sul trattamento dei dati in loro possesso.
Ad oggi, possiamo ben affermare che, a più di un’anno dall’entrata in vigore del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) sono presenti ancora notevoli lacune.
Intendiamo richiamare l’attenzione, in particolar modo, sull'operatività dell’art. 37 del Regolamento, che prevede la nomina del DPO - Data Protection Officer (Responsabile della Protezione dei dati), ovvero il soggetto che si occupa di supportare, vigilare, formare, consigliare il titolare/responsabile del trattamento, tenuto all’implementazione di un sistema conforme alle norme del Regolamento stesso.
Tale figura è da ritenersi obbligatoria anche per le aziende private quando, nell’ambito del proprio core business, il titolare o il responsabile del trattamento effettuino:
- trattamenti che comportano un monitoraggio sistematico e regolare di dati personali su larga scala;
- effettuano trattamenti di larga scala di categorie particolari di dati personali;
- effettuano trattamenti di larga scala di dati relativi a condanne penali e a reati.
Si tratta, ad esempio e giusto per citarne alcuni, dei trattamenti di dati personali svolti da: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, CAF e Patronati, società operanti nel settore delle telecomunicazioni, della distribuzione di energia elettrica o gas e simili, imprese di somministrazione lavoro e ricerca del personale, imprese operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, imprese che forniscono servizi informatici, società che erogano servizi televisivi a pagamento, agenti, rappresentanti, mediatori che operano su larga scala.
D’altro canto, deve ritenersi non obbligatoria, ma opzionale, ad esempio, la nomina del DPO quando si effettua un trattamento di dati personali nell’ambito della propria attività come libero professionista operante in forma individuale o quando si svolge l’attività di agente, rappresentante e mediatore non su larga scala, quando si opera come ditta o impresa familiare o anche nel caso di piccole e medie imprese, sempre che il trattamento di dati personali sia relativo alla gestione delle relazioni con fornitori e dipendenti e quindi nel caso in cui l’attività di trattamento dati non sia propria del core business dell’impresa, ma possa considerarsi come sussidiaria rispetto ad esso.
Facciamo presente, infine, che le sanzioni – in caso di mancata nomina, nelle ipotesi in cui questa sia obbligatoria – sono molto “pesanti” (2% del fatturato annuo, con un massimo di oltre 20 milioni di euro per le aziende di maggiori dimensioni).
Il nominativo del DPO, da ultimo, deve essere pubblicato sul sito internet aziendale.
Quante aziende o enti non ancora sono in regola con il GDPR?
Cosa succederà nel 2020 quando gli imprenditori, i manager e le aziende saranno chiamate a far fronte al nuovo ed importante adeguamento dei propri processi operativi con l’entrata in vigore del Regolamento ePrivacy?
Lo Studio JooMa propone, come da consuetudine, un servizio di consulenza completa “cucita su misura”, per le realtà aziendali che volessero mettersi in regola, attraverso specialisti qualificati e certificati.