DPO as a Service

Un supporto multidisciplinare continuativo


Il Data Protection Officer (DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679 che può essere ricoperta da un dipendente del titolare o del responsabile (non in conflitto di interessi) o può essere anche affidato a soggetti esterni. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR. Coopera con l'Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento). I requisiti richiesti per ricoprire tale figura sono molteplici: deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento; deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali; deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici; deve poter disporre di risorse necessarie per l'espletamento dei propri compiti.

P4I è in grado di ricoprire il ruolo di Data Protection Officer per conto di organizzazioni pubbliche e private, nel rispetto dei requisiti sopra riportati, mettendo a disposizione un supporto multidisciplinare continuativo in grado di ricoprire tutte le funzioni richieste dalla normativa, il tutto facendo leva sulle proprie soluzioni informatiche (es. GRC360-Modulo Data Protection). Il servizio prevede un set di attività in capo al DPO sulla base dell’art.39 GDPR o delegabili allo stesso sulla base delle Linee Guida del WP29 (“attività essenziali”), tra cui ad esempio l’informazione in merito ad aggiornamenti normativi, provvedimenti e linee guida delle Autorità competenti, l’erogazione di consulenze verticali (ivi compresi pareri) e la programmazione ed esecuzione di verifiche trasversali o verticali. Tali attività possono essere integrate con ulteriori attività che la normativa pone in capo al Titolare e al Responsabile del trattamento (“attività di supporto”), tra cui ad esempio la predisposizione o aggiornamento di disposizione interne (es. policy), la gestione di specifici adempimenti/eventi (es. nuove iniziative) e l’esecuzione periodica dell’analisi dei rischi.