DPO: IL PROFESSIONISTA DELLA PRIVACY

IL RUOLO IN AZIENDA DEL DPO (DATA PROTECTION OFFICER)

CHI È IL DPO

Il DPO (Data Protection Officer),  ovvero il Responsabile della Protezione dei Dati, è la figura introdotta dal GDPR con il compito di assicurare e sorvegliare l’osservanza della normativa.

COMPITI E INCARICHI

Possiamo riassumere i compiti del DPO in quattro punti:

  • FORMA E INFORMA le aziende, le pubbliche amministrazioni e relativi dipendenti in merito agli obblighi previsti dalla normativa e fornisce consulenza per gestire al meglio i trattamenti e i flussi dei dati personali;
  • CONTROLLA che l’intero sistema della protezione dei dati funzioni correttamente distribuendo le responsabilità e verificando, sia per mezzo di audit interni che colloqui individuali, che le procedure e i comportamenti siano rispettati da tutti;
  • FORNISCE PARERI in merito alla “valutazione d’impatto sulla protezione dei dati” (analisi necessaria quando il trattamento dei dati presenta un rischio elevato per i diritti e le libertà delle persone) e sorveglia i relativi adempimenti;
  • COLLABORA con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso ai documenti e alle informazioni in caso di verifiche, richieste di informazioni o esercizio dei diritti.

QUANDO E’ OBBLIGATORIO?

L’articolo 37 stabilisce i tre casi in cui il DPO deve essere obbligatoriamente nominato:

  • quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • quando avviene un monitoraggio sistematico, costante e su larga scala degli interessati;
  • quando il monitoraggio consiste nel trattamento su larga scala di dati sensibili e giudiziari.

Anche quando la nomina del DPO non è obbligatoria, è comunque consigliato rivolgersi a un professionista esperto della privacy che illustri gli obblighi previsti dalla normativa, individui le specifiche criticità e imposti le buone prassi da seguire in modo da non incorrere in errori che potrebbero portare a sanzioni.

REQUISITI E COMPETENZE

Di base il DPO deve avere un’approfondita conoscenza della normativa e delle prassi da seguire in materia di protezione dei dati, nonché la padronanza delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Il DPO ideale dovrebbe avere competenze anche in ambito:

  • giuridico;
  • informatico;
  • di analisi dei processi;
  • manageriale;
  • comunicativo.

Spesso è difficile che un unico soggetto incarni tutte queste abilità, per questo motivo è frequente che un DPO faccia parte di un team composto da più professionisti.

FORMAZIONE

Per diventare DPO attualmente non è necessaria alcuna certificazione, abilitazione specifica o iscrizione ad albi professionali. Ciò che serve è possedere un importante bagaglio tecnico-informativo e un’approfondita esperienza in materia.

Un ottimo livello di formazione può essere acquisito seguendo gli opportuni corsi in tema di:

  • privacy;
  • competenze multidisciplinari;
  • conoscenza della normativa, delle metodologie e dei processi ICT per la corretta gestione della sicurezza inerente al trattamento e alla protezione dei dati personali.

Il DPO deve avere anche una buona conoscenza della struttura organizzativa dell’azienda in cui opera, nonché dei suoi sistemi informativi e delle specifiche esigenze di sicurezza e protezione dei dati.

DPO INTERNO O ESTERNO?

Il DPO può essere individuato tra i soggetti già presenti in azienda oppure selezionato all’esterno.

 

DPO INTERNO

Nel caso si opti per un DPO interno è necessario scegliere un soggetto che abbia acquisito una conoscenza approfondita in materia di privacy e protezione dei dati. Per assicurare l’imparzialità ed evitare conflitti di interessi, la persona nominata non dovrebbe ricoprire all’interno dell’azienda un ruolo che consenta di determinare finalità e modalità del trattamento (ad esempio: amministratore delegato, direttore generale, direttore marketing, responsabile delle risorse umane o IT). E’ altresì importante che il DPO sia una persona in grado di “fronteggiare” il Titolare/Responsabile del trattamento affinché le sue indicazioni siano ascoltate e rispettate.

 

DPO ESTERNO

Se si decide di ricorrere a un DPO esterno bisogna assicurarsi che questi sia dotato delle adeguate competenze e abbia maturato sufficiente esperienza in materia. E’ opportuno che la selezione del DPO si basi alle sue qualità professionali e non  all’importo della parcella: cercare il risparmio in questo ambito potrebbe portare a spiacevoli conseguenze.

LE RESPONSABILITÀ DEL DPO

Il DPO non è personalmente responsabile in caso di mancato rispetto del GDPR. Risponde solamente per lo svolgimento dei suoi obblighi di consulenza e assistenza nei confronti del Titolare il qual rimane (eventualmente in solido con il Responsabile) l’unico soggetto tenuto a garantire il rispetto della normativa nei confronti dei terzi.

DIFFUSIONE DEL DPO IN ITALIA

Ad oggi nel nostro Paese il ruolo del Data Protection Office è in crescita costante, con differenti tassi di penetrazione:

  • 69% per il DPO interno
  • 31% per il DPO esterno

PERCHÈ AVERE UN DPO

Nominare un DPO, anche nel caso in cui non sia obbligatorio, porta numerosi benefici all’azienda che vanno al di là del fare tutto ciò che serve per evitare le sanzioni

In qualità di “consulente” specializzato, il DPO aiuta l’imprenditore a creare dei processi di trattamento dati che siano non solo pienamente conformi ai principi di legge ma anche efficaci ed efficienti, guadagnando valore sia in termini di produttività che di sicurezza. 

Inoltre, un’azienda che si dota di un DPO è un’azienda verso la quale il cliente (sia nel B2B che nel B2C) ripone mediamente maggiore fiducia, forte della qualità che la presenza di tale figura professionale apporta al prodotto o al servizio fornito. 

FONTI

“Professione DPO: chi è, cosa fa e quando è obbligatorio il Data Protection Officer”, https://blog.osservatori.net, 12 Lug 2021, Andrea Antonielli, https://blog.osservatori.net/it_it/dpo-incarichi-obbligo-nomina

 

“Chi è il DPO: obblighi, opportunità e perchè è importante”, www.advisory360hub.it, 14 Apr 2021, https://www.advisory360hub.it/blog/audit-compliance/dpo-as-a-service/chi-e-il-dpo-obblighi-opportunita-e-perche-e-importante/

 

“DPO, consulente esperto nel trattamento dati personali”, www.diritto.it, 12 Giu 2018, Mattioli Leonello, https://www.diritto.it/dpo-consulente-esperto-nel-trattamento-dati-personali/

Condividi:

Facebook
LinkedIn

Articoli collegati