Dal Modern Workplace al Cloud, tutto sulla Digital Transformation

Data protection officer, cosa fa e quando serve veramente

Scritto da Proge-Software | 11 settembre 2019

Nell’ambito della normativa europea sulla privacy, il Data Protection Officer (DPO) - ovvero responsabile della protezione dei dati nei documenti di legge italiani - è il professionista che deve essere scelto dall’organizzazione responsabile del trattamento per interfacciarsi con il Garante. La regolamentazione della sua nomina viene trattata nello specifico all’interno dellarticolo 37 del GDPR.

Nonostante il nuovo Regolamento sia entrato pienamente in vigore, non tutti hanno le idee ben chiare in merito all’introduzione di questa nuova figura chiave nei processi di data protection aziendale: quali enti sono obbligati a nominarne uno? E di cosa deve occuparsi, in concreto, il Data Protection Officer? Ecco un riscontro rapido ma esaustivo rispetto ai dubbi più frequenti in merito al ruolo e ai compiti del responsabile della protezione dei dati.

 

Chi è il Data Protection Officer e che ruolo ricopre nell’organizzazione

Nell’articolo 39 del GDPR viene specificato che il responsabile della protezione dei dati, oltre a interfacciarsi e cooperare con l'autorità di controllo in merito a questioni relative al trattamento dei dati, è chiamato a:

  • formare e informare l’organizzazione e i suoi dipendenti implicati nelle attività di trattamento dei dati in merito agli obblighi richiesti dalla normativa e a eventuali disposizioni UE inerenti la data protection;
  • assicurarsi che l’organizzazione per cui presta consulenza ottemperi alla normativa e ad altre eventuali disposizioni dell'Unione o degli Stati membri;
  • fornire, qualora gli venisse fatta richiesta, consulenza relativa alla valutazione d'impatto sulla protezione dei dati e seguirne l’eventuale svolgimento.

 

Quali sono gli enti obbligati a nominare un Data Protection Officer?

Come specificato nell’articolo 37 del GDPR, tra gli enti interessati dalla normativa, l’obbligo di nominare un responsabile della protezione dei dati è valido per:

  • organi della pubblica amministrazione (a parte le autorità giudiziarie);
  • organizzazioni il cui core business preveda il monitoraggio sistematico, regolare e su larga scala dei dati degli utenti;
  • organizzazioni che trattino principalmente e su larga scala dati sensibili riguardanti salute, vita sessuale, informazioni genetiche, giudiziarie o biometriche.

 

Formazione e requisiti: le competenze del DPO

Il legislatore non richiede al responsabile della protezione dei dati personali né una specifica attestazione né l’iscrizione ad alcun albo professionale. Di contro, però, questo esperto deve possedere - oltre ovviamente a una puntuale conoscenza del GDPR - approfondite competenze giuridiche in materia di privacy e delle prassi amministrative, familiarità con le tecnologie informatiche e relative misure di data protection, conoscenza dello specifico comparto di riferimento dell’organizzazione ed evidenti capacità di farsi attivo promotore di una cultura aziendale rivolta alla protezione dei dati.

Si tratta quindi di una figura altamente specializzata che è chiamata a offrire una consulenza specifica su una materia estremamente complessa. Il DPO - come specificato al punto 39 del GDPR - deve inoltre poter operare in maniera indipendente (a prescindere dal fatto che sia o meno un dipendente dell’organizzazione per cui presta consulenza) senza essere obbligato a sottostare ad alcuna direttiva impartita dai dirigenti aziendali.

 

La nomina del Data Protection Officer

Il Data Protection Officer può essere sia un consulente esterno in grado di garantire l’assolvimento di tutte le funzioni previste dalla normativa per questo ruolo, sia un dipendente diretto dell’azienda titolare dei dati. In quest’ultimo caso, il Regolamento richiede ovviamente l’assenza di conflitto di interessi: non è possibile, per esempio, nominare responsabile della protezione dei dati chi è già a capo dell’ICT aziendale, un direttore marketing o anche un responsabile HR.

Nel caso specifico di un gruppo imprenditoriale, la normativa permette di designare un unico Data Protection Officer a patto che possa essere raggiunto facilmente da ciascuna sede e possa comunicare efficacemente sia con gli interessati che con le autorità di controllo.

Dopo la nomina, l’organizzazione è chiamata dal canto suo a fornire al DPO adeguato supporto finanziario, infrastrutturale e in termini di personale.