Data Protection Officer: chi è il DPO? | Ingegneri.info

Manager, avvocato o informatico? Chi è il Data Protection Officer

Figura chiave del nuovo regolamento sui dati personali, il DPO è indispensabile in alcune tipologie aziendali ma anche negli studi. Ma quali sono i requisiti e come si nomina il Data Protection Officer?

General Data Protection Regulation (GDPR)
image_pdf

Nelle aziende che gestiscono enormi quantità di dati diventerà una figura chiave. Eppure oggi è ancora poco conosciuto. Parliamo del Data Protection Officer (DPO), il professionista della privacy chiamato a sovrintendere alla gestione del trattamento dei dati personali in conformità con il GDPR, la nuova normativa europea in vigore dal 25 maggio. Una figura che per legge va inserita all’interno dell’organizzazioni, pubbliche o private, che trattano big data. È il caso degli ospedali, delle compagnie di assicurazione, delle banche, dei fornitori di servizi di telecomunicazioni, degli studi legali ma anche delle società di marketing e delle grandi piattaforme di e-commerce come Alibaba o Amazon.

Approfondisci: Protezione dati personali e GDPR: le novità per i professionisti tecnici

Il profilo: chi è il DPO?

Non si tratta però di un semplice esperto di informatica ma piuttosto di una figura con competenze trasversali che spaziano dal diritto, alla cybersecurity passando per le capacità manageriali. «Non c’è un bollino che possa sancire l’idoneità a ricoprire il ruolo di data protection officer – scrive Nicola Bernardi, presidente di Federprivacy -. Quello definito dal GDPR è un profilo manageriale di uno spessore troppo elevato per standardizzarne le caratteristiche in modo semplicistico. Ciò che serve principalmente ai professionisti sono le competenze e la conoscenza specialistica della materia». In sostanza il compito del DPO è verificare che il trattamento dei dati effettuato dalle organizzazioni avvenga nel rispetto delle normative privacy europee e nazionali. Per farlo però deve conoscere alla perfezione i meccanismi interni dell’ente o dell’impresa per cui lavora. «Non basta essere dei tecnici per diventare DPO – spiega Marco Trombadore, consulente aziendale, Referente sviluppo associativo Centro sud di AssoDPO ed esperto di privacy – occorrono capacità diversificate per poter permettere ai soggetti che hanno delle ottime basi verticali (IT o Legali) di sviluppare competenze trasversali. Occorre poi ragionare per settori: penso al contesto sanitario ad esempio che richiede conoscenze specifiche legate al tipo di dato trattato e i flussi informativi diversi dal settore Telco».

Approfondimenti: GDPR e Privacy: Cosa fanno Facebook, Whatsapp e gli altri?

I compiti del DPO

Riassumendo il DPO deve:

  • informare il titolare e il responsabile del trattamento rispetto agli obblighi di legge in materia di dati personali
  • sorvegliare l’osservanza del Regolamento delle organizzazion
  • fornire supporto nella valutazione d’impatto sulla protezione dei dati e collaborare con l’autorità di controllo.

In più deve impegnarsi quotidianamente nell’informare e sensibilizzare i titolari e i responsabili del trattamento dei dati. Ne consegue che il DPO deve essere un professionista con qualità manageriali di alto livello in grado di suggerire a enti e imprese cambiamenti tecnico-organizzativi o implementazioni tecnologiche. «Nel concreto si tratta di essere funzione che concorre alla garanzia della conformità rispetto al nuovo regolamento sulla privacy – aggiunge Trombadore -. C’è un però. Non tutte le aziende, specialmente le pmi, sono aggiornate. In alcuni casi si deve ripartire da zero».

Sei interessato ad approfondire il tema del GDPR sul piano legale? Visita lo Speciale Privacy su Altalex.com

Il DPO dal punto di vista delle aziende

Ecco quindi che il DPO diventa anche il responsabile dell’innovazione culturale all’interno del mondo imprenditoriale, un mondo chiamato da maggio a una maggiore responsabilità in ambito privacy. Ma come si sceglie il DPO? Sul profilo in realtà la normativa non dà un indirizzo preciso: sono le organizzazioni che devono valutare i requisiti della persona da inserire in organico. L’unica indicazione riguarda il conflitto di interessi ad esempio non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT. Non basta quindi ‘spostare’ un dipendente e assegnargli nuove mansioni ma ci vuole una figura ad hoc e super partes. Illecito quindi anche nominare l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane. Aspettiamoci piuttosto la chiamata di manager esterni, informatici e giuristi d’impresa iper formati.

Altri approfondimenti:

Biometrica e privacy: il punto di vista del Garante

App per Smartphone: il GDPR

GDPR e adempimenti: come iscriversi al seminario di Giovanni Ziccardi

Copyright © - Riproduzione riservata
L'autore
Manager, avvocato o informatico? Chi è il Data Protection Officer Ingegneri.info