La figura del DPO – il data protection officer – è stata introdotta con il GDPR. Il ruolo è quello del responsabile della protezione dei dati, che ha il compito di supportare il titolare, i responsabili e gli addetti al trattamento dei dati in modo che questi vengano conservati secondo le indicazioni e i principi contenuti nel regolamento europeo, anche in relazione alla gestione dei rischi. Il data protection officer, pertanto, è un consulente tecnico legale le cui mansioni sono specificate all’articolo 39 del GDPR: egli deve cooperare, sorvegliare e informare. Non si limita a vigilare e a consigliare, ma deve anche agire da collante tra l’autorità e l’organizzazione.
Vediamo nel dettaglio tutte le caratteristiche di questa figura insieme ai consulenti su privacy e GDPR a Monza e Brianza di Gruppo RES.
Il ruolo di un counselor
La consulenza fornita dal DPO è di tipo legale e tecnico, e mira a fare in modo che gli addetti, i responsabili e i titolari dei dati agiscano in conformità con quanto previsto dal regolamento europeo. I soggetti coinvolti devono essere informati a proposito delle modalità da seguire per la raccolta dei dati personali, la loro conservazione e il loro trattamento. Si può parlare di un vero e proprio counselor, vale a dire un professionista chiamato ad agevolare l’iter di coscienza di sé del cliente.
La nomina del DPO
È possibile selezionare il data protection officer fra persone che sono già presenti in azienda o, in alternativa, sceglierlo all’esterno.
La seconda soluzione in molti casi si lascia preferire, se non altro perché garantisce il rispetto del principio di imparzialità e previene qualunque potenziale conflitto di interesse.
Nel caso in cui si opti per un DPO interno, comunque, in considerazione delle responsabilità che spettano a tale figura e delle competenze di cui deve essere in possesso, la selezione deve essere effettuata solo tra i vertici; è consigliabile coinvolgere le figure intermedie unicamente nel caso in cui esse possiedano una conoscenza specifica delle tematiche di protezione dei dati e privacy.
DPO interno e DPO esterno
In tutti i casi, nell’ipotesi di un DPO interno, è essenziale che il soggetto che viene nominato non rivesta in azienda una funzione che gli permetta di definire le modalità e gli scopi del trattamento. Non si deve trattare, quindi, del direttore marketing, del direttore sanitario, del direttore finanziario, del direttore generale, dell’amministratore delegato o di qualunque altro professionista dei comparti IT e risorse umane. Qualora ci si affidi a un DPO esterno, d’altro canto, è necessario sottoscrivere un contratto che identifichi la tipologia e i termini del servizio.
Il DPO è obbligatorio?
Al fine dell’introduzione della figura del DPO in un organico aziendale è necessario tenere conto di specifiche condizioni.
Vige l’obbligo di nominare un data protection officer se le attività correlate al core business dell’organizzazione presuppongono la sistematica e continua supervisione degli interessati su ampia scala, ma anche se a eseguire il trattamento è un organismo pubblico o un’autorità pubblica. L’obbligo sussiste anche nel caso in cui l’attività principale dell’azienda prevede il trattamento di dati giudiziari e sensibili su larga scala.
I DPO nel nostro Paese
In Italia la figura del DPO è protagonista di una significativa crescita, anche se permangono differenze significative, per ciò che riguarda i tassi di penetrazione, fra i DPO esterni e i DPO interni. I primi rappresentano il 31% del totale, i secondi il rimanente 69%. Solo nel 51% dei casi, però, il data protection officer riporta direttamente al board aziendale, mentre nel 49% dei casi tale figura riporta soprattutto alle funzioni compliance o legal.
Va comunque detto che, almeno fino a questo momento, la normativa in vigore non obbliga il DPO a riportare unicamente al board aziendale.