Sempre più spesso oggi, condividiamo, raccogliamo e gestiamo in vario o modo e a vario titolo delle informazioni. La rete abbonda di ogni genere di dato, ma chi vigila sul loro corretto utilizzo?
Sempre più spesso oggi, condividiamo, raccogliamo e gestiamo in vario o modo e a vario titolo delle informazioni. La rete abbonda di ogni genere di dato, ma chi vigila sul loro corretto utilizzo?
Tematiche come la privacy, la tutela, il trattamento e la conservazione dei dati sono più che mai attuali e ormai strategiche per ogni azienda.
Ci sono leggi e obblighi stringenti a riguardo, ma non tutti li conoscono e di conseguenza sanno mettersi in regola e questo come ovvio sottopone a non pochi rischi.
Con nuove leggi e regolamenti, così come con nuovi strumenti, informatici e non solo, è inevitabile nascano anche nuovi ruoli e vere e proprie figure professionali, come quella del Data Protection Officer (DPO) introdotta dal Regolamento generale sulla protezione dei dati 2016/679, noto anche come GDPR, che è stato pubblicato nella Gazzetta Ufficiale Europea L. 119 il 4 maggio 2016.
Il DPO era già presente in alcune legislazioni europee, ma in Italia c’è ancora un po’ di confusione su chi sia, che poteri e responsabilità effettivamente abbia.
Può essere un dipendente, con altri ruoli in azienda, ma anche un consulente esterno. Deve possedere competenze giuridiche, ma anche informatiche, di risk management e di analisi dei processi aziendali.
Tra le sue principali responsabilità c’è quella di vigilare e organizzare al meglio la gestione del trattamento di dati personali, che in azienda vanno manco a dirlo opportunamente protetti.
Il DPO è presente sia in aziende pubbliche che private e deve sincerarsi che i dati raccolti, ad esempio attraverso moduli di contatto o iscrizione online, siano poi trattati nel rispetto delle attuali normative sulla privacy, sia nazionali che europee.
Nel mondo anglosassone viene chiamato CPO (Chief Privacy Officer), ma spesso anche Data Protection Officer o Security Officer e anche alcune aziende italiani adottano queste definizioni.
Chi nomina il DPO in azienda?
Quello del DPO è un incarico importante, spesso svolto da chi ne ricopre anche altri in azienda, ma chi nomina il responsabile della protezione dei dati?
Il Regolamento Europeo in materia di protezione dei dati, che dal 2018 la disciplina in tutti i 28 Stati membri dell’UE, spiega anche come l’istituzione di questa figura professionale vada gestita.
Come definito con chiarezza dall’articolo numero 37 del GDPR, il Data Protection Officer deve essere nominato obbligatoriamente dal titolare o dal responsabile del trattamento dei dati e la sua designazione deve essere comunicata alla competente Autorità Nazionale di Controllo.
Consultare un avvocato esperto di privacy e GDPR sarà sempre importante per individuare la persona più adatta in azienda, o per eventualmente valutare un consulente esterno. Allo stesso modo una consulenza legale potrà servire al professionista, così da capire al meglio compiti e rischi della sua posizione.
Cosa deve fare il DPO?
Le attività che svolge un DPO in azienda sono molteplici, non a caso gli sono richieste competenze che potremo definire come trasversali, ad esempio giuridiche, ma anche informatiche.
L’articolo numero 39 del Regolamento europeo sulla protezione dei dati personali va ad elencare quelli che sono i principali compiti del DPO, ovvero quello che come tale va a fare in azienda.
Per prima cosa deve informare e anche, all’occorrenza, fornire consulenza al Titolare del trattamento dei dati o al Responsabile del trattamento, oltre che ai dipendenti in qualche modo coinvolti dagli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR).
Il DPO deve vigilare sull’effettiva osservanza del Regolamento Europeo sulla Privacy, così come su altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.
Deve fornire, se gli viene richiesto, un parere in merito all’impatto sulla protezione dei dati e deve sorvegliarne sullo svolgimento delle attività ai sensi dell’articolo numero 35.
Deve collaborare attivamente con l’Autorità di controllo e diventare a tutti gli effetti punto di contatto per l’Autorità in azienda.
Nell’eseguire i propri compiti il DPO si sottopone a dei rischi relativi al trattamento dei dati. Per supportare questi professionisti nello svolgimento dei loro delicati compiti è nata anche un’associazione, la ASSO DPO, particolarmente attiva nella formazione professionale e nella definizione di standard e best practices che possano da un lato facilitare e dall’altro migliorare, le attività di questa figura.