Pubblicato il 31 Marzo 2020
Il DPO aiuta entri pubblici e privati ad applicare correttamente le regole sulla privacy stabilite a livello europeo
Data Protection Officer (DPO) o Responsabile della Protezione dei dati (RPT) è la figura professionale nata in seguito all’emanazione del Regolamento Europeo n. 2016/679, meglio conosciuto come Regolamento generale sulla protezione dei dati o GPDR. A partire dal 25 maggio 2018, gli enti pubblici e privati devono affidarsi a un esperto che si occupi di gestire il trattamento dei dati personali e tutte le problematiche annesse.
Il DPO è dotato non solo di profonde conoscenze informatiche, ma anche di competenze giuridiche e analisi dei rischi. Solo grazie alla padronanza di tali materie può affiancare responsabile e titolare del trattamento nella protezione delle informazioni sensibili presenti in azienda. Insieme costruiscono strategie mirate alla sicurezza di tali dati, conferendo alla realtà imprenditoriale maggiore serietà e affidabilità. In un mondo iperconnesso non è più possibile ignorare questi aspetti. Ecco perché è fondamentale dotarsi di un valido Data Protection Officer.
Chi è il Data Protection Officer
Il DPO osserva, valuta e gestisce il trattamento dei dati personali all’interno di un’azienda o di un ente pubblico. L’obiettivo è quello di far rispettare le regole europee e nazionali legate alla privacy. Ma quali sono le competenze e le qualità professionali che permettono di svolgere al meglio queste funzioni?
Innanzitutto, il DPO deve avere una conoscenza approfondita del Regolamento generale sulla protezione dei dati, oltre a comprovate competenze legislative, con particolare riferimento alla tutela dei dati sensibili. Se lavora per un ente pubblico, il DPO dovrà anche sapere quali sono le procedure che caratterizzano l’amministrazione.
Queste sono le qualità da ricercare in questo professionista, anche se non vengono esplicitamente dichiarate all’interno dell’art. 37 del Regolamento sulla Privacy valido per gli Stati Membri dell’EU. Al contrario, la normativa chiarisce che questo ruolo può essere rivestito sia da un dipendente sia da un consulente esterno tramite un contratto specifico che gli permetterà di diventare anche responsabile del trattamento. Questa regola però mette in conflitto un punto importante dell’articolo 38 del Regolamento Europeo: azioni e decisioni del DPO devono essere assolutamente indipendenti da eventuali pressioni aziendali. In quest’ottica, un consulente non ha le stesse libertà di un dipendente, che invece deve sottoporsi agli obblighi e oneri dell’impresa.
Ma non è tutto, secondo il GDPR il DPO non deve trovarsi in conflitto di interessi, e questo può sembrare ancora più difficile per un dipendente. Tuttavia, questo concetto è legato più alla mansione svolta in azienda e non al tipo di contratto in essere. In poche parole, bisogna evitare la sovrapposizione delle attività: il responsabile del reparto ICT non potrà occuparsi della tutela della privacy, stesso discorso per il responsabile HR, l’amministratore delegato o il direttore marketing. Tutte queste figure infatti hanno a che fare con la gestione dei dati aziendali.
Cosa fa il Data Protection Officer
Come abbiamo anticipato, il compito principale di questo professionista è controllare che le aziende applichino correttamente le norme europee sul trattamento dei dati personali, e nel caso aiutarle a migliorare questo tipo di attività. L’esperto può lavorare sia in organizzazioni pubbliche che private, rispettando tutti i compiti descritti all’interno dell’articolo 39 del Regolamento generale sulla protezione dei dati. Nello specifico, il DPO deve informare sia il Titolare che il Responsabile della privacy su tutti gli obblighi legislativi o altre norme legate alla gestione dei dati personali.
In secondo luogo, deve verificare che le norme siano seguite da parte del Responsabile e del Titolare e deve assicurarsi che il personale sia adeguatamente formato in materia. Tutti i dipendenti, in base al ruolo svolto, devono contribuire alla creazione di un ambiente a norma di Legge.
Il Data Protection Officer è una figura importante che informa, supporta e aiuta l’azienda per permetterle di lavorare al meglio seguendo le norme.
Può fornire il suo parere e valutare qual è la soluzione migliore per tutelare i dati. A tal fine, collabora con le autorità e altri esperti. L’obiettivo è creare un ambiente aziendale in cui qualsiasi informazione sensibile sia protetta da attacchi esterni e da eventuali sottrazioni indebite o usi illegittimi. Secondo tale descrizione, il DPO ha numerose caratteristiche, tra cui un’ampia esperienza e competenza in ambito manageriale e organizzativo. È importante che tutte le imprese si affidino a questa figura per gestire la privacy.