La figura professionale del Data Protection Officer

Il Data Protection Officer, figura professionale già nota in molte legislazioni europee, dovrà essere obbligatoriamente presente all’interno delle aziende pubbliche e in tutte quelle dove i trattamenti dei dati presentino specifichi rischi, ovvero siano potenzialmente in grado di ledere gravemente i diritti degli interessati. E’ l'art. 37 del Regolamento Europeo Privacy (2016/679 Regolamento Generale sulla Protezione dei Dati-RGPD) che ha introdotto l’obbligo per alcune società, di adeguare il proprio organigramma privacy inserendo la figura del DPO ovvero il Responsabile per la Protezione dei Dati.
Il DPO, quindi, si inserisce nell’intricata questione che riguarda la privacy e la gestione dei dati personali, andando a rispondere ad un reale bisogno di tutela.
Dovranno nominare un DPO tutte le aziende le cui attività principali riguardano il trattamento dei dati che, per finalità, oggetto o natura, richiedono il monitoraggio regolare e sistematico su larga scala degli interessati. Sono obbligate a nominare un DPO anche tutte le aziende la cui attività principale consiste nel trattamento di dati sensibili, relativi cioè alla salute o alla vita sessuale oppure dati genetici, giudiziari e biometrici. In tutti gli altri casi in cui la figura del DPO non è imposta da regolamento è possibile nominarlo su base volontaria.
Quali sono i compiti del Responsabile per la Protezione dei Dati?
Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
La nuova figura dovrà essere sempre coinvolta nelle questioni inerenti la protezione dei dati e nello specifico si occuperà di sorvegliare sull’osservanza del regolamento e verificare le attribuzioni delle responsabilità. Inoltre, si dovrà occupare di sensibilizzare, informare e formare il titolare, i responsabili e i dipendenti dell’azienda; essere il punto di incontro con l’Autorità Garante per la protezione dei dati personali; consigliare chi gestisce il trattamento dei dati sull’eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento; controllare che in caso di violazioni dei dati personali, oltre a notificare e comunicare, sia tenuta adeguata documentazione. In tutti i casi, il DPO dovrà lavorare in maniera autonoma e indipendente per assicurare che ulteriori mansioni e funzioni non entrino in conflitto di interessi perché altrimenti il Dpo dovrebbe in pratica controllare se stesso.
Quali i requisiti della nuova figura professionale?
Il DPO dovrà possedere adeguate conoscenze della normativa e della prassi di gestione dei dati personali. Avrà competenze e conoscenze specialistiche acquisite tramite specifici percorsi di formazione e all’esperienza diretta sul campo. Tale figura potrà essere selezionata tra i dipendenti dell’azienda oppure potrà essere un libero professionista, legato all’azienda da un contratto di servizi.
L’introduzione della figura del DPO nasce dall’importanza, dalla complessità e dalla diffusione che l'ambito della privacy e del trattamento dei dati (e dei rischi connessi) sta sempre più acquisendo. Pertanto per garantire standard di sicurezza adeguati, è consigliabile che tutte le imprese, anche quelle in cui la figura del DPO non è obbligatoria, prevedano l’inserimento del nuovo professionista.
L’introduzione della nuova figura in azienda se da un lato porterà le imprese a dover investire con nuovi costi e oneri dall’altro darà vita a nuovi spazi occupazioni.

Articolo a cura di Claudia Cavazzoni, C.E.O. di Archimede S.p.a. pubblicato sul quotidiano "La Voce di Reggio Emilia" il giorno 12 novembre 2017.