Tra le principali novità apportate dal Regolamento Generale sulla Protezione dei Dati, entrato ufficialmente in vigore in Unione Europea il 25 maggio 2018, vi è l’introduzione di una figura professionale. È il Dpo, acronimo di Data Protection Officer.
Chi è il Data Protection Officer
Per alcuni legislazioni europee, in particolare per il mondo anglosassone, il Data Protection Officer non è una novità assoluta. In alcuni di questi paesi, infatti, già da diverso tempo esiste una figura professionale che si occupa di protezione dei dati personali, sebbene sia conosciuto con altri nomi, in particolare Chief Privacy Officer o Privacy Officer. In Italia, invece, una figura di questo tipo è ancora poco conosciuta. Infatti, solo con l’entrata in vigore del GDPR, per molti soggetti giuridici è divenuto obbligatorio assumere un Responsabile della Protezione dei Dati Personali.
Cosa deve fare il DPO
Il Dpo può essere sia una figura interna all’azienda che una risorsa esterna. Tale tipologia di professionista deve avere competenze sia informatiche che giuridiche ma anche di gestione del rischio e di analisi dei processi. È un soggetto a cui deve essere conferita autonomia totale ed indipendenza nello svolgimento delle mansioni che ricadono sotto la sua responsabilità. Il Responsabile della Protezione dei Dati Personali deve rispondere delle proprie azioni al Titolare del Trattamento o al Responsabile del Trattamento che lo ha nominato. Diversi sono i compiti di cui il Dpo dovrà occuparsi. In primo luogo, spetta al Data Protection Officer vigilare sull’osservanza del GDPR e dell’intero quadro normativo di riferimento in materia di privacy. Inoltre, egli avrà l’incarico di cooperare e fare da tramite tra il Titolare del Trattamento e l’Autorità Garante in materia di protezione dei dati personali. Nel caso in cui venga riscontrata una violazione di dati personali, il Dpo deve necessariamente essere consultato e, qualora sia necessario inviare una notifica al Garante, deve supportare il Titolare del Trattamento. Altro incarico importante di cui dovrà occuparsi il Dpo è quello di collaborare con il Titolare ed eventualmente col Responsabile del Trattamento nella valutazione dell’impatto sulla protezione dei dati.È dovere del Responsabile della Protezione dei Dati Personali fornire consigli ed informazioni al Titolare del trattamento per quanto concerne gli obblighi previsti dal GDPR e dalla normativa sulla privacy. Infine, il Data Protection Officer deve dare supporto al Titolare in qualunque attività che ponga in essere il trattamento di dati personali.
Le competenze del Dpo
In precedenza, abbiamo accennato, in maniera generica, alle competenze che il Responsabile della Protezione dei Dati Personali deve possedere per svolgere questo mestiere. È bene, però, conoscere nel dettaglio le varie sfaccettature che coinvolgono questa professione. Oltre alle conoscenze giuridiche, infatti, è necessario conoscere bene anche il settore specifico oggetto di trattamento. La presenza di competenze anche in ambito tecnico ed informatico può ulteriormente arricchire il profilo del Dpo. Qualora sorga l’esigenza di avvalersi di ulteriori collaboratori che abbiano maggiori competenze in un ambito ancora più specifico, il Dpo può chiedere il supporto di soggetti anche esterni in possesso delle conoscenze richieste. Può ricoprire l’incarico di Data Protection Officer sia una persona fisica, sia una giuridica, quest’ultimo caso ricorrente soprattutto quando si sceglie di nominare un soggetto esterno all’organizzazione. Non ci sono precisi requisiti che un Dpo deve possedere per svolgere questo ruolo. Ciò che conta è che il Titolare del Trattamento sia in grado di dimostrare la bontà della sua scelta, ossia di aver affidato l’incarico ad un soggetto adeguato. Si deduce che avere un buon curriculum, arricchito da specifici percorsi di studio e formativi, può fare la differenza quando si tratta di scegliere un Dpo.
Dpo: chi è obbligato ad assumerne uno
Secondo quanto previsto dal Gdpr, hanno l’obbligo di assumere un Dpo le pubbliche amministrazioni e gli enti pubblici ma non le autorità giudiziarie. In generale, i soggetti la cui attività principale consiste in trattamenti che comportano un regolare e sistematico monitoraggio degli interessi su larga scala sono obbligati ad assumere un Dpo. Lo stesso discorso vale anche per i soggetti che si occupano, su larga scala, del trattamento di dati sensibili che riguardano la salute o la vita sessuale delle persone, nonché dati genetici, biometrici e giudiziari. Può essere consigliato ricorrere ad un Dpo anche nei casi in cui non è obbligatorio. Inoltre, poiché la norma non è molto specifica, è bene chiedere il supporto di un professionista qualificato per comprendere se è necessario procedere alla nomina di un Data Protection Officer.
