Chi è il Dpo, il Data protection officer, e quando sarà obbligatorio in azienda
Le norme europee impongono l’assunzione di quello che in Italia si definisce Responsabile per la protezione dei dati: ecco quale sarà il suo ruolo
Il Regolamento europeo della privacy n. 2016/679, quello che disciplina la tutela dei dati riservati, tra le varie norme, prevede anche quella che introduce dal prossimo 25 maggio la figura del Data protection officer, ossia di quello che in Italia è stata già ribattezzato Responsabile per la protezione dei dati.
Si tratta sostanzialmente di quella figura professionale che d’ora in poi in determinate imprese dovrà garantire la riservatezza di tutta una serie di informazioni sensibili. Un tema divenuto quantomai scottante dopo il recente scandalo che ha pesantemente coinvolto Facebook.
Diciamo subito che per svolgere tale attività non saranno necessari particolari titoli di studio o abilitazioni. Non esiste infatti, almeno per il momento, un albo per tale professione, e tantomeno sono previsti “bollini” che certifichino un tale profilo lavorativo.
In ogni caso, il Garante della privacy ha voluto fornire in maniera dettagliata le caratteristiche del Dpo, spiegando non solo quale sarà il suo ruolo, ma anche i casi in cui le aziende saranno costrette ad assumere una di queste figure.
Chi è il Dpo e suoi requisiti
Innanzitutto il responsabile della protezione dei dati personali sarà designato dal titolare dell’impresa o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento europeo sulla privacy.
Inoltre coopererà con il Garante fungendo da punto di contatto con esso, per le questioni connesse appunto al trattamento dei dati personali. Detto ciò, è lo stesso Garante a ribadire che, al Dpo non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi.
Il soggetto in questione dovrà però possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy. Da sottolineare infine che il Dpo potrà essere un soggetto terzo esterno all’azienda, oppure un lavoratore già dipendente del titolare o del responsabile che conosca però la realtà operativa in cui avvengono i trattamenti.
In quest’ultimo caso, anche se il ruolo di Dpo è comunque compatibile con altri incarichi, sarebbe bene evitare possibili conflitti di interesse, escludendo dalla lista dei potenziali candidati, ad esempio l’amministratore delegato, un membro del consiglio di amministrazione o il direttore generale. E ancora personale della direzione risorse umane, della direzione marketing, della direzione finanziaria e di quella dell’information technology.
Aziende obbligate ad avere il Dpo
In maniera molto sintetica, possiamo dire che saranno obbligate all’assunzione di un Dpo quelle aziende le cui principali attività consistono proprio nel monitoraggio regolare e sistematico di dati personali o di dati relativi a condanne penali e a reati.
Lo stesso Garante elenca una serie di esempi come: banche, assicurazioni, istituti di vigilanza, società che forniscono servizi di telecomunicazioni, gas ed elettricità, società che operano nel settore sanitario, call center, società radiotelevisive. Tra l’altro è da notare che nella lista sono compresi anche partiti politici e sindacati.
Persona fisica o giuridica
Le norme sul Dpo prevedono, come accennato, che esso possa essere un dipendente del titolare o del responsabile del trattamento.
Ovviamente però, in aziende di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.
In questo senso allora, qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica. In ogni caso però, il Garante raccomanda di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica che rappresenterà il punto di contatto con l’ufficio del Garante stesso.
