cosa fa il DPO privacy officer
Competenze, mansioni e obbligatorietà del DPO, il Data Protection Officer, figura professionale nata con l’approvazione del GDPR.
La tutela della privacy è, almeno nelle intenzioni, uno degli obiettivi prioritari delle istituzioni europee e per questo, la protezione dei dati personali, diventa elemento centrale per raggiungere l’obiettivo. All’interno di questa linea d’azione, la figura del DPO, il Data Protection Officer, è diventata centrale.
Scopriamo chi è e cosa fa il Responsabile della Protezione dei Dati personali.
Cosa vuol dire DPO o RPD
DPO è letteralmente il Data Protection Officer, una figura che in realtà ha già un corrispondente nell’italiano: è il RPD, Responsabile della Protezione dei Dati, come ci ricorda il Garante della Privacy.
Tutti lo conosciamo come DPO perché si tratta di una figura introdotta dal nuovo regolamento europeo per la privacy (il GDPR, un’altra sigla).
Questa professione rientra a tutti gli effetti tra gli sforzi della Comunità Europea per la protezione dei dati personali, tra cui appunto il GDPR, che prevede una serie di norme sul trattamento e la circolazione dei dati personali delle persone fisiche.
Chi è il DPO e cosa fa
Ma entriamo più nel dettaglio: chi è il DPO o RPD? Quali sono le sue competenze? E quali i suoi compiti?
Secondo quanto dettato dal GDPR, questa figura ha competenze in materia di normativa (Europea, delle singole Nazionali e di quelle Internazionali), conoscenze nella gestione dei processi aziendali e dei flussi di dati all’interno di organizzazioni anche complesse e competenze di Sicurezza Informatica vista la forte e quasi completa digitalizzazione dei dati . Non ultimo deve essere dotato di assoluta autonomia e indipendenza nell’esercizio della sua attività. Si tratta quindi di un consulente, con competenze manageriali, tecniche e legali ad ampio raggio. Può essere istituito internamente a un’azienda o a un ente pubblico (in alcuni casi è obbligatorio, come vedremo), facendo ben attenzione alle posizioni incompatibili con il ruolo e la responsabilità personale di chi affida l’incarico (Titolare o Responsabile del trattamento) nel fare una scelta che non lo porti ad una “Culpa in eligendo”. La figura può essere anche esterna, come avviene nella maggior parte dei casi, nominata mediante negozio giuridico.
Ha un ruolo “interno”, di consiglio e sorveglianza per l’organizzazione di cui si occupa.
Ma il DPO ha anche un ruolo “esterno”, cioè di rapporto con l’Autorità Garante della Privacy.
Il compito principale del DPO è affiancare i cosiddetti titolari e responsabili del trattamento dei dati personali (più precisamente “Controller e Processor”): deve in sostanza consigliare questi ultimi affinché rispettino le norme vigenti ed utilizzino strumenti adatti sia tecnici che organizzativi.
Il Regolamento europeo specifica in dettaglio le mansioni del DPO all’articolo 39. Ecco un elenco non esaustivo:
- Conoscere le disposizioni del Regolamento Europeo GDPR, oltre ad altre norme in materia di privacy, sia nazionali che comunitarie, per poter informare i diversi membri dell’organizzazione che si occupano di trattamento dei dati e offrire loro consulenza.
- Sorvegliare l’attuazione sia del Regolamento GDPR che delle altre norme in materia da parte delle persone addette nell’organizzazione di cui fa parte.
- Cooperare, come accennato, con l’autorità che controlla l’attuazione delle norme sulla privacy, nel nostro caso, in Italia con il Garante della Privacy, svolgendo quindi un ruolo di coordinamento tra l’organizzazione e l’Authority, per esempio nei casi di consultazione preventiva previsti all’articolo 36 del GDPR o di controllo.
- Considerare con attenzione i rischi inerenti al trattamento dei dati personali delle persone fisiche, anche tenendo conto del contesto e delle finalità in cui vengono trattati.
DPO e GDPR: quando è obbligatorio
Non sempre la figura del Data Protection Officer è obbligatoria per ogni tipo di organizzazione. All’articolo 37 del GDPR, la norma europea identifica in quali casi la nomina di tale figura diventa imprescindibile:
- Quando il trattamento dei dati personali è eseguito da enti pubblici. C’è un’eccezione: le autorità giudiziarie, nell’esercizio delle proprie funzioni, non sono obbligate alla nomina del DPO.
- Nei casi in cui il Titolare o il Responsabile del trattamento dei dati personali di un’organizzazione attuino un monitoraggio regolare e sistematico delle informazioni personali, su larga scala.
- Nel caso in cui tali attività di monitoraggio regolare, sistematico e su larga scala riguardino informazioni considerate sensibili (sono previsti dall’articolo 9 del GDPR: origine razziale/etnica, opinioni politiche, convinzioni religiose, dati genetici o biometrici, dati relativi alla salute o all’orientamento sessuale e così via) o che riguardino informazioni relative a condanne penali (articolo 10 del GDPR).
- O per categorie specifiche indicate sul sito del garante (per esempio : aziende sanitarie, assicurative,finanziarie, fornitori di servizi informatici, settore delle utilities (telecomunicazioni, distribuzione di energia, gas ed altro), società di revisione contabile etc…
Vieni a scoprire la figura del DPO
Assoprovider si incontra a Roma il prossimo 15 giugno 2022, a partire dalle ore 10. L’evento, intitolato APMPRO22, è un format itinerante, il Marketplace della nostra organizzazione. L’appuntamento sarà incentrato sulle proposte di soci e non soci di Assoprovider, produttori e distributori di soluzioni per TLC, Sicurezza, IoT e Software.
Durante l’evento, sarà possibile inoltre approfondire alcune tematiche che riguardano gli operatori di settore. Nello specifico, sono previsti interventi su GDPR e DPO, con Fulvio Sarzana di Sant’Ippolito, avvocato, esperto del diritto delle telecomunicazioni, che supporta Assoprovider nelle sue battaglie legali.
cosa fa il DPO privacy officer