DPO (Data Protection Officer)

Cos’è il DPO, Data Protection Officer Utilizziamo cos’è invece di chi e è proprio per definire una cosa importante il DPO è una funzione aziendale, con precisi compi, obblighi e responsabilità.Chiaramente questa funzione dovrà essere affidata ad una persona fisica, un consulente tecnico indipendente con poteri esecutivi, che si occupi della protezione e conservazione dei dati, ne gestisca i rischi e che funga da referente ed intermediario con le autorità, ma anche con i dipendenti e collaboratori aziendali.
Non solo quindi una figura specializzata, con una profonda conoscenza della normativa e dei sistemi utilizzati all’interno dell’organizzazione, ma anche un professionista in grado di gestire e facilitare la comunicazione tra i soggetti e la diffusione della nuova cultura di protezione dei dati.

La figura del DPO è normata dalla Sezione 4 del GDPR, articoli 37, 38 e 39.

Articolo 37 Designazione del responsabile della protezione dei dati
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati […]
5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

La definizione è ampia e quanto mai interpretabile, questo purtroppo ha dato e darà adito a varie incomprensioni. Possiamo però affermare, anche in base ai chiarimenti ed alle linee guida pubblicate dal Gruppo di Lavoro Articolo29, che la persona che dovrà svolgere tale funzione dovrà principalmente competenze specifiche concernenti la normativa, ma anche capacità manageriali di comunicazione.

Normati dall’art. 39 del GDPR, possono riassumersi principalmente in attività di consulenza al titolare del trattamento ed ai dipendenti coinvolti in merito alla raccolta e gestione del dato, di vigilanza e controllo delle attività in ottemperanza alla normativa GDPR, ma e soprattutto il DPO è il referente aziendale per le autorità di controllo e riferimento. Tali attività devono essere svolte con particolare attenzione al livello di rischio dell’organizzazione in materia di trattamento dei dati.

Inizialmente il DPO dovrà fornire consulenza e supporto al titolare del trattamento attraverso l’analisi delle procedure in atto e la loro conformità al regolamento. Definite le procedure il DPO offrirà consulenza al titolare e/o ai dipendenti coinvolti secondo le loro necessità e richieste.

Il Responsabile Protezione Dati dovrà inoltre verificare la conformità dell’organizzazione al GDPR, alle norme nazionali ed alle procedure delineate. Si occuperà inoltre di dare al personale dipendente coinvolto la formazione adeguata al fine di ottemperare pienamente a tali regolamenti.

Il DPO si occuperà inoltre di mantenere i rapporti con le Autorità di controllo e di cooperare con esse. Quest’importante compito dovrà essere svolto fin dalle prime analisi di conformità (Art. 36) e dovrà mantenersi nel tempo

Il Responsabile Protezione Dati è un ruolo manageriale cui l’Art. 38 del regolamento attribuisce risorse economiche e di personale. Fondamentale è la sua totale indipendenza e gli obblighi di informazione in capo al titolare del trattamento.
Il DPO può dotarsi di un team di lavoro e deve essere coinvolto costantemente e con tempestività in ogni decisione concernente il trattamento.
Vige l’obbligo di riservatezza ed il divieto di conflitto di interessi.

Il ruolo è quindi svolto da un soggetto specifico e definito, specializzato e con esperienza nella materia, in grado di occuparsi della protezione dei dati personali, sempre aggiornato su rischi, problemi e misure di sicurezza necessarie a garantire un livello di tutela adeguato.