E' in arrivo in azienda il Data Protection Officer: cosa fa, quali sono gli obblighi

MondoLavoroNew

Il Data Protection Officer, figura professionale già nota in molte legislazioni europee, dovrà essere obbligatoriamente presente all’interno delle aziende pubbliche e in tutte quelle dove i trattamenti dei dati presentino specifichi rischi, ovvero siano potenzialmente in grado di ledere gravemente i diritti degli interessati. L'art. 37 del Regolamento Europeo Privacy (2016/679 Regolamento Generale sulla Protezione dei Dati-GDPR) introduce l’obbligo di adeguare l’organigramma aziendale della privacy, prevedendo la figura del DPO ovvero del Responsabile per la Protezione dei Dati.

Tutte le imprese che devono nominare il DPO e che effettuano la designazione, saranno tenute a inviarne notizia al Garante della Privacy. La comunicazione potrà essere assolta tramite la modulistica online presente al sito www.garanteprivacy.it. Nella sezione del sito dedicata, occorre procedere al caricamento delle informazioni richieste. Terminata la procedura il sistema invierà alla casella di posta elettronica certificata indicata, un file riepilogativo. Il documento dovrà essere sottoscritto con firma digitale qualificata e spedito entro 48 ore dalla ricezione. L’operazione va a buon fine alla ricezione del numero di protocollo della pratica che conferma la ricezione delle informazioni su DPO e sul titolare/responsabile dei dati.

Chi dovrà necessariamente nominare il DPO in azienda? E farne comunicazione?

Saranno tenute a nominare un DPO, tutte le aziende le cui attività principali riguardano il trattamento dei dati che, per finalità, oggetto o natura, richiedono il monitoraggio regolare e sistematico su larga scala degli interessati. Ad esempio tutte le aziende la cui attività principale consiste nel trattamento di dati sensibili, relativi alla salute oppure dati genetici, giudiziari e biometrici. In tutti gli altri casi è possibile nominare la figura del DPO su base volontaria.

Il DPO si inserisce nell’intricata questione che riguarda la privacy e la gestione dei dati personali, e risponde ad un reale bisogno di tutela.

Quali sono i compiti del Responsabile per la Protezione dei Dati?

Il DPO ha la responsabilità di far rispettare le normative europee e nazionali in materia di privacy e i suoi compiti principali sono l’osservazione, la valutazione e la gestione dei dati personali. La nuova figura dovrà essere sempre coinvolta nelle questioni inerenti la protezione dei dati e nello specifico si occuperà di sorvegliare sull’osservanza del regolamento e verificare le attribuzioni delle responsabilità. In tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore. Inoltre, si dovrà occupare di sensibilizzare, informare e formare il titolare, i responsabili e i dipendenti dell’azienda ed essere il punto di incontro con l’Autorità Garante. In tutti i casi, il DPO dovrà lavorare in maniera autonoma e indipendente per assicurare che ulteriori mansioni e funzioni non entrino in conflitto di interessi perché altrimenti il DPO dovrebbe in pratica controllare se stesso. 

Quali i requisiti della nuova figura professionale?

Il DPO dovrà possedere adeguate conoscenze della normativa e della prassi di gestione dei dati personali. Un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento, sono le competenze core. In fase di nomina sarà quindi importante valutare candidati che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Il DPO potrà essere selezionato anche tra i dipendenti dell’azienda oppure potrà essere un libero professionista, legato all’azienda da un contratto di servizi. L’introduzione della figura del DPO nasce dall’importanza, dalla complessità e dalla diffusione che l'ambito della privacy e del trattamento dei dati (e dei rischi connessi) sta sempre più acquisendo. L’utilizzo e la diffusione dei dati personali per esigenze informative è aumentata anche per il fenomeno della digitalizzazione. Per questo motivo sono stati necessari importanti aggiornamenti legislativi e operativi.