Data Protection Officer: chi è e cosa fa?

Il Data Protection Officer, o DPO, è un soggetto dotato di una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati.

E’ una figura introdotta dal Regolamento Generale sulla Protezione dei Dati (GDPR) 2016/679, pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 e direttamente applicabile in tutti gli Stati UE a partire dal 25 maggio 2018.

Storicamente questa figura è già presente in alcuni paesi europei, ed è un professionista con un ruolo aziendale (interno o esterno) con competenze giuridiche, informatiche e di risk management.

Il suo compito è quello di osservare, valutare e organizzare la gestione e la protezione del trattamento dei dati personali all’interno dell’azienda.

Con l’entrata in vigore del GDPR nel maggio 2018 questa figura sarà presente in tutti i 28 Stati membri dell’Unione Europea per gestire e proteggere i dati.

Quali sono i compiti del DPO?

I principali compiti del Data Protection Officer sono:

• Informare e fornire consulenza al Titolare o al Responsabile del Trattamento e ai dipendenti che eseguono il trattamento degli obblighi derivanti dal Regolamento;
• Sorvegliare l’osservanza del Regolamento;
• Se richiesto, fornire un parere sulla valutazione d’impatto sulla protezione dati e sorvegliarne lo svolgimento;
• Cooperare con l’Autorità di Controllo ed essere un punto di contatto per essa per le questioni legate al trattamento;
• Valutare i rischi inerenti al trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità.

Secondo il GDPR, il DPO deve avere una conoscenza specialistica non solo della normativa ma di tutte le pratiche in materia di protezione dei dati. Quindi deve possedere competenze integrate negli ambienti legale, informatico e gestionale. Pertanto è sicuramente consigliato nominare un Team di esperti per distribuire i compiti.

Quando viene designato il DPO?

Citando l’art. 37 del GDPR, il Titolare e il Responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccetto le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare o del Responsabile del trattamento consistono in processi che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sul larga scala;

c)le attività principali del Titolare o del Responsabile del trattamento consistono nel trattare categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

La nomina del DPO è obbligatoria per tutti?

Nel settore pubblico le Amministrazioni di Stato, gli Enti pubblici non economici nazionali, le Regioni e gli Enti locali, le Università e le Camere di Commercio devono provvedere alla nomina del DPO.

Per quanto riguarda il settore privato è tenuto a designare la figura del Data Protection Officer. Vengono indicati come esempio istituti di credito, imprese assicurative, società di revisione contabile, istituti di vigilanza, partiti politici, sindacati etc.

Avvalersi della figura di un Data Protection Officer, con le sue conoscenze specialistiche, permette di gestire e proteggere i dati personali dell’azienda.

Non esitare a contattare i nostri professionisti per una valutazione.