Negli articoli precedenti ho introdotto un nuovo argomento, l’inserimento di una nuova figura professionale all'interno delle aziende che trattano i dati personali degli utenti. 

In questo articolo svelerò i dettagli  e ti spiegherò chi è il DPO, chi ha l’obbligo di nominarlo e quali sono le caratteristiche di questa nuova professione.

In realtà, nei Paesi anglosassoni,  questa figura professionale è già conosciuta con il termine di Chief Privacy Officer (CPO). Con l’entrata in vigore del GDPR, dal 25 maggio 2018, è una professione ricercata in tutti i paesi europei.

Chi è il DPO?

Il Data Protection Officer (DPO), è il responsabile della protezione dei dati personali. 

Il compito del DPO è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative nazionali ed europee.

Le sue funzioni

L’art. 39 del Regolamento Europeo sulla privacy indica le funzioni principali del DPO, che si riassumono in:

• informare e fornire consulenza al Titolare del trattamento, al Responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento.

• sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati, delle politiche del Titolare del trattamento o del Responsabile, in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

• fornire un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

• cooperare con l’autorità di controllo;

•  fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento.

Come si diventa un DPO?

ll candidato ideale per diventare DPO è un soggetto che occupa già una posizione dirigenziale o manageriale, formato e con esperienza in materia di privacy.

Un profilo senior potrà garantire maggiore indipendenza e garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare. 

Il DPO dovrà essere dotato di un team, locali e attrezzature sufficienti per adempiere i propri compiti. 

Il budget del DPO deve essere proporzionale alla complessità del lavoro e alle responsabilità prese in carico.

Il DPO è soggetto a sanzioni?

La figura del DPO è immune da sanzioni e richieste di danni provenienti dagli interessati. Non risponde, quindi, della violazione compiuta dall’ente o dall’azienda in cui è stato nominato, ma ne rispondono i relativi Titolari del trattamento e Responsabili.

Non è immune, invece, di fronte alla violazione degli obblighi contrattuali che lo legano a chi lo ha nominato, così come prescritto dalla norma europea.

Chi nomina il DPO?

Il DPO viene nominato attraverso un ” Atto di Nomina” redatto per iscritto. Il titolare o il responsabile dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento ed ogni informazione utile riguardo il rapporto tra DPO e azienda. 

La designazione del DPO deve essere comunicata all'Autorità di controllo nazionale.

Quando è obbligatorio inserire il DPO all’interno di un’azienda?

Il GDPR stabilisce l’inserimento obbligatorio quando:

• Il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

• Le attività del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati;

• Le attività del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento dati personali o di dati relativi a condanne penali e a reati (Riferimento all’art. 9 e art. 10).

Un esempio di attività con l’inserimento obbligatorio della figura del DPO sono:

1. Istituti di credito;
2. Imprese assicurative;
3. Sistemi di informazione creditizia;
4. Società finanziarie; 
5. Società di revisione contabile; 
6. Società di recupero crediti;
7. Istituti di vigilanza; 
8. Società di telecomunicazioni, distribuzione di energia elettrica o gas; 
9. Imprese di somministrazione di lavoro e ricerca del personale; 
10. Società operanti nel settore della cura della salute;
11. Società di call center; 
12. Società che forniscono servizi informatici.

NON È OBBLIGATORIO nominare il DPO per le seguenti attività:

• Liberi professionisti che operano in forma individuale;

• Agenti, rappresentanti e mediatori operanti non su larga scala;

• Imprese individuali o familiari;

• Piccole e medie imprese, riguardo al trattamento dei dei dati personali relativi alla gestione dei rapporti in essere con fornitori e dipendenti.

DPO esterno o interno?

Prima di formare o inserire un nuovo soggetto all’interno del team aziendale, è consigliato valutare attentamente i potenziali conflitti di interesse che potrebbero nascere all'interno . 

Ricorda che il DPO agisce in totale autonomia in merito al contesto.

Le aziende possono decidere se stipulare un contratto interno, inserendo una nuova figura professionale o formando un impiegato già presente nel team e con dei requisiti validi. 

Non è obbligatorio inserire un DPO, le aziende possono affidare la responsabilità ad una figura esterna con esperienza e con un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che la caratterizzano.

Adesso puoi esaminare le migliori soluzioni per la tua azienda, se rientri nei settori con l’obbligo di inserimento di un DPO, con queste informazioni puoi capire quali sono i candidati migliori, se inserire il DPO in azienda o iniziare una collaborazione esterna.

Ti aspetto nel prossimo articolo per approfondire un altro importante argomento sul GDPR!