Cosa trovi in questo articolo
Argomenti come la protezione dei dati, come la GDPR e la privacy sono ormai ricorrenti: sebbene se ne parli spesso, però, non tutti sanno chi è il DPO – chiamato anche Privacy Officer – e qual è il suo ruolo all’interno di un’azienda.
Si tratta di una figura chiave che, in quanto tale, vale la pena conoscere più da vicino e che in alcuni casi deve essere presente per legge all’interno di un’azienda.
Chi è il DPO (Data Protection Officer)
Il DPO è il Data Protection Officer, una figura che ha già preso piede nella realtà aziendale britannica e statunitense e che ora è presente anche nelle nostre aziende.
Si tratta di un esperto con competenze trasversali il cui compito è quello di andare a organizzare la gestione del trattamento dei dati personali.
Un compito ben preciso che, però, interessa diversi aspetti, infatti il DPO dove osservare le linee guida del GDPR, oltre che valutare e proteggere i dati personali all’interno dell’azienda.
È fondamentale che questi ultimi vengano trattati in base alle normative sulla privacy tanto europee che italiane: proprio per questo motivo il DPO deve avere alle sue spalle un background ben preciso, che spazia dalle competenze giuridiche al risk management.
DPO e GDPR: perché questa figura è fondamentale dal 25 maggio 2018
La data del 25 Maggio 2018 è fondamentale quando si parla di privacy e di protezione dei dati, un vero e proprio punto di svolta per le aziende e per il trattamento dei dati personali.
Questa è la data in cui tutti gli Stati dell’Unione Europea si sono ritrovati a dover applicare quanto stabilito con il Regolamento generale sulla protezione dei dati 2016/679 (General Data Protection Regulation, GDPR), già pubblicato sulla Gazzetta Ufficiale Europea nel Maggio 2016.
Ecco che la figura del Data Protection Officer, già nota altrove, è diventata sempre più centrale anche nel nostro paese. Dal 25 Maggio 2018, infatti, tutte le aziende europee si sono dovute obbligatoriamente adeguare al nuovo Regolamento per la Protezione dei Dati, che tutti conosciamo come GDPR.
Il nuovo regolamento, che in quanto tale non ha richiesto recepimento da parte degli Stati Membri così da essere non modificabile dagli stessi, ha cambiato in maniera sostanziale tutte le leggi sulla privacy nazionali tra cui quella italiana.
Nel caso del nostro Paese dobbiamo sottolineare che la Legge Privacy Dlgs 196/2003 è ancora in vigore, ma molti articoli in contrasto con il Regolamento europeo sono stati abrogati e altri sono stati modificati e/o integrati.
L’obiettivo del Consiglio Europeo è quello di cercare di armonizzare le normative privacy nazionali e, soprattutto, quello di ridefinire il concetto di protezione dei dati.
DPO e privacy sono, quindi, connessi tra loro proprio per mezzo di questo regolamento che nel corso degli anni sta diventando sempre più basilare.
Il DPO e la consulenza sulla GDPR
Ogni azienda ha l’obbligo di adeguarsi al GDPR ed è per questo motivo che la consulenza di un DPO diventa basilare. Il consulente GDPR è diventato una figura cardine nelle aziende nell’ultimo periodo.
Durante la sua consulenza sulla GDPR questa figura andrà a valutare uno per uno tutti gli aspetti che concernono la privacy e il trattamento dei dati nell’azienda, così da dare dei suggerimenti utili per migliorare e per essere sempre in linea con quanto richiesto dalla nuova normativa europea.
Ogni azienda dovrà, infatti, dimostrare di essersi adeguata al nuovo regolamento sulla privacy, così da non incorrere in sanzioni così come previsto.
I compiti del DPO
I compiti del DPO sono chiaramente espressi nell’articolo 39 del Regolamento europeo sulla protezione dei dati personali. In questo articolo vengono ben esplicitate tutte le funzioni in capo al Responsabile della protezione dei dati.
Leggendolo si capisce che il DPO ha il compito di fornire una consulenza al Titolare del trattamento dei dati o, ancora, al Responsabile del Trattamento dei dati e a quei dipendenti che eseguono il trattamento, così come previsto dalla normativa europea in materia.
L’attività del DPO non si limita quanto sopraelencato: tra suoi i compiti c’è anche quello di esprimere, qualora gli venga richiesto, un parere su quello che è il sistema di protezione dei dati messo in piedi dall’azienda che richiede i suoi servizi.
Il Privacy Officer dovrà poi collaborare con le autorità di controllo e dovrà necessariamente applicare quando prescritto da legge. Sarà proprio questo il perimetro entro il quale dovrà muoversi, nel rispetto di tutte quelle che sono le regole in merito alla tutela della privacy e dei dati da proteggere.
Suo compito è, quindi, conoscere tutto il necessario, comprese le linee guida, i sistemi certificativi che servono per la sicurezza informatica e così via. Questo significa, quindi, che il DPO deve avere anche competenze tecnologiche.
Per fare il proprio lavoro un DPO deve avere delle specifiche skill, ad esempio deve essere in grado di valutare, suggerire e migliorare il sistema e la metodologia utilizzata per la protezione dei dati.
Sarà necessario, quindi, analizzare tutto con attenzione e competenza ed è per questo motivo che è necessario selezionare un professionista in grado di portare avanti il suo lavoro.
Questa figura si fa riconoscere anche per la sua autonomia e per la sua capacità organizzativa e di pianificazione. Si dovrà dimostrare propenso al lavoro di squadra e al problem solving.
Differenza tra DPO e Titolare del Trattamento dei Dati
Alla luce di quanto detto è importante capire la differenza tra DPO e Titolare del Trattamento dei Dati.
Stando a quanto previsto dalla legge, il titolare del trattamento è il soggetto di riferimento per tutto il sistema di trattamento dei dati personali. Il suo compito è quello di raccogliere i dati.
Naturalmente tutto questo deve essere svolto entro dei precisi limiti che devono essere ben chiari a chi lascia i suoi dati.
A questo punto è doveroso chiarire un concetto per non fare confusione: il titolare del trattamento dei dati non è il DPO, si tratta di due figure differenti.
Il DPO, infatti, ha il compito di proteggere i dati che vengono raccolti e di sorvegliare che il sistema di tutela venga rispettato e attuato a dovere.
Si tratta di due figure diverse con ruoli e responsabilità diverse, sebbene entrambe disciplinate entrambe dalla GDPR.
Come avviene la nomina del DPO
Sarà importante capire anche come nominare un DPO. Alla base della nomina c’è un iter ben preciso che deve essere conosciuto quando si ha la necessità, la volontà o l’obbligo di nominare questa figura.
Iniziamo con il dire che, in base all’articolo 37 del Regolamento generale sulla Protezione dei Dati, il DPO viene nominato sulla base di un contratto o dal titolare del trattamento dei dati o dal responsabile.
Sarà importante che la nomina venga prontamente comunicata all’Autorità di controllo nazionale. Questo è un passaggio decisamente importante dato che, quando si ha l’obbligo di nominare un DPO e la nomina arriva in maniera tardiva o non arriva, si possono avere dei risvolti sia di natura civile che penale.
In questi casi il titolare del trattamento sarà ritenuto colpevole del ritardo o della mancanza di nomina.
Attenzione, però, a non sottovalutare le modalità di nomina del DPO: non si tratta di una cosa così facile come si potrebbe pensare. Perché? Il motivo è semplice: Non esiste un albo dei DPO e, pertanto, si devono ricercare solo ed esclusivamente delle figure debitamente formate, che siano in possesso di una certificazione valida.
Solo questa può essere la base su cui nominare un DPO, che dovrà pian piano costruire un rapporto di fiducia con il titolare del trattamento dei dati perché entrambi devono remare nella stessa direzione, che è quella della tutela della privacy e dei dati.
In aggiunto a quanto abbiamo già detto si deve anche ricordare che la figura del DPO è inamovibile: questo significa che dovrà rimanere al suo posto fino al termine naturale del suo contratto, con solo pochissime eccezioni.
Un DPO può essere rimosso se ritenuto “infedele”, ovvero se diffonde notizie riservate o se c’è incompatibilità con le regole deontologiche imposte dal titolare.
Quando è obbligatorio nominare un DPO
La nomina del DPO è obbligatoria in tre casi.
- Amministrazioni ed enti pubblici, così come previsto dal Regolamento. Stando a quanto specificato dal Garante, tutti quegli organismi che rientravano negli articoli 18-22 del Codice Privacy precedentemente in vigore hanno l’obbligo di nominare un DPO.
- Nel caso di trattamento su larga scala di dati sensibili o che fanno capo alla sfera sessuale, alla salute, all’aspetto genetico, al quadro giudiziario o biometrico delle persone. Si parla, ad esempio, di tutte quelle forme di monitoraggio e di profilazione messe in atto dai siti internet finalizzate alla pubblicità comportamentale.
- Nel caso in cui vengano trattati dei dati che richiedono un costante e sistemico controllo su larga scala.
Volendo stilare una lista di soggetti obbligati a nominare un DPO troviamo: società assicurative, istituti di credito, istituti di recupero crediti, società finanziarie, istituti informatici e, ancora, istituti di vigilanza, caf e patronati, società di telecomunicazione, società operanti nel settore della salute, call center e molti altri ancora.
Quando vale la pena nominare un DPO, anche se è non obbligatorio
E se non è obbligatorio, in quale caso vale la pena nominare un DPO? Sarà utile fare chiarezza anche su questo punto.
Anche le piccole aziende possono trovare dei benefici nel nominare un DPO. Sebbene non sia obbligatorio, anche queste aziende di piccole o medie dimensioni si trovano a dover fare i conti con una grande mole di dati che è necessario gestire e proteggere.
I requisiti del DPO
Come detto in precedenza, la figura del DPO deve avere diverse competenze. Si tratta di un professionista che ha un ruolo ben preciso e che, quindi, deve avere delle conoscenze che spaziano in diversi settori.
Si parte dalla conoscenza della normativa in materia di protezione dei dati e si arriva alle competenze in ambito di risk management, alle conoscenze in ambito giuridico e così via.
Dovrà, quindi, riuscire a svolgere con precisione tutti i compiti che gli vengono affidati dall’articolo 39 del Regolamento. Deve farlo con attenzione, lealtà, senza divulgare informazioni sensibili e nel rispetto del suo incarico e della solennità del ruolo che gli viene affidato.
Deve, inoltre, collaborare con il titolare del trattamento dei dati, con il Garante e deve essere il punto di contatto tra quest’ultimo e l’azienda o l’ente. Una serie di responsabilità che non sono di certo di poco conto.
Certificazione per DPO
A questo punto non resta che capire chi può diventare DPO e in che modo. Dato che non esiste un albo specifico la domanda da porsi, per chi è interessato è come ottenere la certificazione per DPO.
Si tratta del resto di un’occasione importante, che può interessare molte persone che desiderano acquisire tutte le skill necessarie per diventare Data Protection Officer e affacciarsi sul mondo del lavoro facendo una di quelle che saranno le professioni del futuro.
Si tratta di un percorso di studi interessante, che serve ad acquisire tutte le capacità specifiche per svolgere al meglio questo lavoro.
Il consiglio è quello di seguire un corso online per DPO con certificazione EIPASS: in questo modo sarà possibile ottenere tutte quelle che sono le nozioni e le competenze richieste per lavorare sia nella pubblica amministrazione che nelle aziende del settore privato.
Tra i temi che verranno affrontati segnaliamo tutto ciò che concerne i compiti, la designazione del DPO e la normativa in materia. Si procederà con un approfondimenti sia del Codice dell’Amministrazione Digitale, con gli ultimi aggiornamenti, che del Regolamento UE 679/2016 e le nuove norme sulla protezione dei dati personali.
Si tratta di un’opportunità da cogliere al volo poiché un corso di DPO valido ed efficace permette di formare dei profili di alto livello, che sapranno come gestire il loro compito all’interno di un’azienda o di una pubblica amministrazione.
