Perché un’azienda dovrebbe dotarsi di DPO

Il Regolamento UE 2016/679, meglio noto con l’acronimo GDPR (General Data Protection Regulation) ha innovato completamente la materia riguardante il trattamento dei dati personali e la privacy. Con l’entrata in vigore del GDPR, le aziende hanno dovuto modificare la loro policy riguardante il trattamento dei dati personali e introdurre alcune modifiche essenziali, compresa l’introduzione del DPO (Data Protection Officer), che ha il compito di gestire e supervisionare la raccolta e l’archiviazione dei dati. In questa guida analizzeremo nello specifico la figura del DPO, quali sono le sue mansioni, le sue funzioni e perché è fondamentale per le aziende introdurre questa nuova figura professionale.

Chi è il DPO

L’acronimo DPO indica in lingua inglese il Data Protection Officer, che in italiano può essere tradotto con responsabile della protezione dei dati. Il DPO è una nuova figura professionale introdotta con il GDPR e che è diventata obbligatoria per alcune aziende. Il DPO viene solitamente scelto dal titolare dall’azienda o da un suo delegato e può essere individuato tra i dipendenti o scelto ex novo, tra i candidati più adatti a ricoprire tale ruolo. Il DPO è una figura ibrida, visto che è incaricato della gestione corretta dei dati personali e ha la specifica funzione di vigilare l’operato dei dipendenti, quindi ricopre il ruolo di consulente e vigilante allo stesso tempo. Il DPO è anche colui che regola la comunicazione e l’interazione tra le aziende e il Garante per la protezione dei dati personali, di conseguenza diventa anche il rappresentante all’esterno della stessa impresa. Come si può ben immaginare, il Data Protection Officer deve essere un soggetto degno di fiducia e che abbia la capacità di vigilare e anche prendere decisioni difficili nei confronti degli altri collaboratori o dipendenti. È opportuno sottolineare che il DPO svolge il suo lavoro in completa autonomia, anche se viene scelto dal responsabile del trattamento dei dati all’interno della sua azienda.

Cosa fa il DPO: principali compiti

Il GDPR, oltre a introdurre la figura del DPO, ne configura anche le mansioni nell’art.39, così da avere un quadro preciso dei suoi compiti. In particolare, il DPO ha il compito principale di supportare, informare e assistere il titolare o il responsabile del trattamento dei dati, seguendo le indicazioni stabilite dal GPR e dalle altre leggi europee e nazionali in materia di privacy. La consulenza e l’assistenza deve essere fornita anche a tutti i dipendenti e collaboratori che si occupano del trattamento dei dati personali. La seconda mansione del responsabile del trattamento dati è inerente alla vigilanza: il DPO sorveglia il titolare, il responsabile e gli altri dipendenti che si occupano di trattamento dei dati che ottemperino alle regole presenti nel GDPR o di altre leggi europee e nazionali inerenti al tema della privacy. Oltre alle principali funzioni svolte dal DPO, vi sono alcune che possono essere definite come accessorie:
– il DPO, fornisce, su richiesta, un parere relativo alla valutazione d’impatto sulla protezione dei dati e ne sorveglia lo svolgimento, come stabilito dall’art. 35 del GDPR;
– coopera con l’autorità di controllo, che è in Italia il Garante per la protezione dei dati personali. Nel caso in cui l’azienda opera su larga scala, il Garante chiede di individuare un responsabile o un dirigente che si occupi di approvare e implementare le raccomandazioni fornite dal DPO.
Nello svolgimento delle sue diverse mansioni, il DPO opera sempre in completa autonomia e indipendenza e non può essere sottoposto a controlli, anche da parte del titolare del trattamento dei dati. Il DPO deve sempre segnalare al responsabile del trattamento dei dati, se vi sono delle violazioni da parte dei dipendenti o se sono state riscontrate delle falle nella sicurezza. La sorveglianza è uno dei compiti accessori del DPO, ma è importantissimo per evitare eventuali sanzioni o manomissioni dei dati sensibili. Il DPO può soltanto consigliare e assistere il responsabile del trattamento dati, ma non può imporre o stabilire le procedure da seguire in materia di privacy.
Per conoscere nel dettaglio le mansioni e le funzioni del DPO, vi invitiamo a leggere l’interessante l’articolo “Cosa fa il Data Protection Officer” sul sito PrivacyLab, una guida utile per chi deve assumere un DPO all’interno della propria azienda.

L’obbligatorietà del DPO

Come specificato nel nuovo Regolamento europeo sulla protezione dei dati, l’introduzione e la nomina del DPO all’interno di un’azienda è obbligatoria per le autorità o gli enti pubblici che si occupano di trattamento dei dati, mentre è escluso per tutte le autorità giudiziarie. L’obbligo di nominare un DPO è altresì confermato per tutte quelle organizzazioni private che esercitano funzioni pubbliche o svolgono pubblici poteri. Tra le aziende private che devono per legge nominare un DPO vi sono quelle che si occupano sistematicamente di dati personali o che per il loro funzionamento necessitano di monitorare tali dati sensibili. L’ultima categoria di aziende che devono obbligatoriamente introdurre la figura del DPO sono quelle che operano su larga scala e che raccolgono diverse tipologie di dati sensibili come quelli bancari, sanitari, ecc. Come si può ben capire, la figura del DPO non è obbligatoria per tutte le aziende, ma è sempre consigliabile nominarla se si trattano abbastanza di frequente i dati personali di alcuni soggetti, per evitare violazioni da parte di hacker e per proteggere le libertà personali dei vostri clienti, quindi come sempre è valido il vecchio adagio: prevenire è meglio che curare, quindi non esitate a nominare un DPO per la gestione di questa specifica materia.

Perché è importante il DPO all’interno di un’azienda

La figura del DPO all’interno dell’azienda è fondamentale soprattutto se ci si occupa in maniera sistematica e regolare di dati, quindi non soltanto per quelle imprese specializzate nella profilazione o nella gestione dei dati, ma per tutte quelle che operano online. Per comprendere l’importanza del DPO è opportuno fare un esempio: la vostra azienda vende cosmetici sia online che offline e volete promuoverli con una campagna pubblicitaria che comprende email marketing, sondaggi, retargeting, ecc. attraverso questi strumenti acquisirete un gran numero di dati personali e sarà necessario raccoglierli e gestirli seguendo le procedure stabilite dal GDPR e chi potrà svolgere questa fondamentale mansione, evitandovi sanzioni amministrative o penali? Il responsabile del trattamento della protezione dei dati o DPO, che dovrete assolutamente nominare. La mole di dati raccolti attraverso la profilazione, le applicazioni, il negozio online, le newsletter e i programmi di fidelizzazione può essere davvero imponente e bisogna proteggerli dagli attacchi degli hacker e conservarli in modo appropriato. Come abbiamo sottolineato in precedenza, la nomina e l’inserimento di un DPO vi protegge anche da eventuali sanzioni, che possono essere anche molto dure e costose, per l’inosservanza degli obblighi prescritti all’interno del GDPR.

Come scegliere il DPO

Vista dell’importanza della figura del DPO all’interno dell’azienda, scegliere l’incaricato per ricoprire tale ruolo non è così semplice come si può pensare. Nella nomina del DPO non vi sono delle regole precise, dato che è una scelta autonoma del titolare dell’azienda, anche se si possono seguire alcuni suggerimenti per semplificare tale ricerca. Il candidato che deve ricoprire la carica di DPO deve possedere una buona conoscenza della normativa e della prassi in materia di privacy e trattamento dei dati, inoltre è necessario che sia in grado di mettere in pratica tutte le procedure amministrative e informatiche che gli consentano di proteggere i dati sensibili. Il ruolo del DPO è molto sfaccettato, visti i numerosi compiti da assolvere, quindi è necessario selezionare candidati che abbiano una buona preparazione tecnica e legale, ma che allo stesso tempo possiedono alcuni requisiti personali: ottime capacità comunicative, capacità di lavorare sotto pressione e abilità nel risolvere problemi. Il candidato ideale ha maturato esperienza nel campo della gestione dei dati o ha seguito dei corsi di formazione per ricoprire tale ruolo, ma tali requisiti non sono indispensabili, servono soprattutto per ridurre la rosa dei candidati e scegliere il DPO più preparato e affidabile.