Aziende

Chi è il Dpo, il Data protection officer, e quando sarà obbligatorio in azienda

Le norme europee impongono l’assunzione di quello che in Italia si definisce Responsabile per la protezione dei dati: ecco quale sarà il suo ruolo

privacy

Giuseppe Cordasco

-

Il Regolamento europeo della privacy n. 2016/679, quello che disciplina la tutela dei dati riservati, tra le varie norme, prevede anche quella che introduce dal prossimo 25 maggio la figura del Data protection officer, ossia di quello che in Italia è stata già ribattezzato Responsabile per la protezione dei dati.

Si tratta sostanzialmente di quella figura professionale che d’ora in poi in determinate imprese dovrà garantire la riservatezza di tutta una serie di informazioni sensibili. Un tema divenuto quantomai scottante dopo il recente scandalo che ha pesantemente coinvolto Facebook.

Diciamo subito che per svolgere tale attività non saranno necessari particolari titoli di studio o abilitazioni. Non esiste infatti, almeno per il momento, un albo per tale professione, e tantomeno sono previsti “bollini” che certifichino un tale profilo lavorativo.

In ogni caso, il Garante della privacy ha voluto fornire in maniera dettagliata le caratteristiche del Dpo, spiegando non  solo quale sarà il suo ruolo, ma anche i casi in cui le aziende saranno costrette ad assumere una di queste figure.

Chi è il Dpo e suoi requisiti

Innanzitutto il responsabile della protezione dei dati personali sarà designato dal titolare dell’impresa o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento europeo sulla privacy.

Inoltre coopererà con il Garante fungendo da punto di contatto con esso, per le questioni connesse appunto al trattamento dei dati personali. Detto ciò, è lo stesso Garante a ribadire che, al Dpo non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi.

Il soggetto in questione dovrà però possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy. Da sottolineare infine che il Dpo potrà essere un soggetto terzo esterno all’azienda, oppure un lavoratore già dipendente del titolare o del responsabile che conosca però la realtà operativa in cui avvengono i trattamenti.

In quest’ultimo caso, anche se il ruolo di Dpo è comunque compatibile con altri incarichi, sarebbe bene evitare possibili conflitti di interesse, escludendo dalla lista dei potenziali candidati, ad esempio l’amministratore delegato, un membro del consiglio di amministrazione o il direttore generale. E ancora personale della direzione risorse umane, della direzione marketing, della direzione finanziaria  e di quella dell’information technology.

Aziende obbligate ad avere il Dpo

In maniera molto sintetica, possiamo dire che saranno obbligate all’assunzione di un Dpo quelle aziende le cui principali attività consistono proprio nel monitoraggio regolare e sistematico di dati personali o di dati relativi a condanne penali e a reati.

Lo stesso Garante elenca una serie di esempi come: banche, assicurazioni, istituti di vigilanza, società che forniscono servizi di telecomunicazioni, gas ed elettricità, società che operano nel settore sanitario, call center, società radiotelevisive. Tra l’altro è da notare che nella lista sono compresi anche partiti politici e sindacati.

Persona fisica o giuridica

Le norme sul Dpo prevedono, come accennato, che esso possa essere un dipendente del titolare o del responsabile del trattamento.

Ovviamente però, in aziende di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

In questo senso allora, qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica. In ogni caso però, il Garante raccomanda di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica che rappresenterà il punto di contatto con l’ufficio del Garante stesso.

Per saperne di più

© Riproduzione Riservata

Leggi anche

Facebook, anche i gusti musicali usati per spiarci

Secondo Cambridge Analytica, se ascoltate Tom Waits e Bjork avete una "personalità aperta", mentre i fan degli Smiths e di Marilyn Manson sono considerati "nevrotici"

Forse Facebook sa (anche) chi hai chiamato negli ultimi tempi

Un nuovo caso dopo Cambridge Analytica: nel mirino i permessi che consentono al social network di registrare i tabulati Android di telefonate ed SMS

Facebook, gli utenti, i big data: chi ha più colpe nel caso Cambridge Analytica

Autorizzazioni violate, scarso controllo, leggerezza: tutti i motivi che hanno portato al più grande scandalo dalla nascita dei social network

Solo la blockchain può salvare Facebook

Un sistema decentralizzato e certificato dagli stessi utenti rappresenta il futuro di ogni servizio online, compresi i social network

Privacy in Rete: i libri per capirne di più

Le nostre identità e i nostri dati personali sono diventati una preziosa merce di scambio. Ma anche strumenti per influenzare la società e i comportamenti

Come funziona Haven, l’app salva-privacy di Edward Snowden

Serve come antifurto del telefonino Android quando non lo abbiamo sottocchio: scatta foto e registra audio se avviene una manomissione

Privacy web, gli editori alla Ue: così favorite Google e Facebook

Media italiani e europei contro il nuovo regolamento che favorisce ulteriormente la concentrazione a favore di pochi giganti della rete

Commenti