Introdotta dal Regolamento Europeo 2016/679, la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) coadiuva le aziende, i professionisti e le amministrazioni pubbliche nella gestione dei trattamenti dati personali. La nomina del DPO spetta al Titolare e/o dal Responsabile del trattamento, che deve individuare un soggetto in possesso dei requisiti richiesti all’interno del personale dell’azienda oppure affidarsi a professionisti esterni.
All’interno della struttura e dell’organigramma aziendale, il DPO deve essere individuato tra dirigenti o funzionari di elevata professionalità. Tuttavia, per poter garantire l’affidabilità, l’indipendenza e l’autonomia necessarie a svolgere i compiti di sorveglianza, verifica e coordinamento, è quasi sempre preferibile scegliere un DPO esterno.
Chi e cosa fa il Data Protection Officer (DPO) in azienda
Professionista dalla formazione trasversale, il Data Protection Officer deve possedere una solida formazione e un bagaglio culturale ampio ed eterogeneo che includa, tra le altre cose:
- un’approfondita conoscenza della normativa e della prassi in materia di data protection e tutela della privacy;
- una vasta serie di competenze trasversali in ambito giuridico, con particolare attinenza con le normative specifiche del settore in cui opera l’organizzazione;
- conoscenze pratico-teoriche in materia di risk management;
- una solida formazione in materia informatica.
Inoltre il DPO esterno aziende deve garantire affidabilità, autonomia e indipendenza rispetto all’organigramma aziendale. Al tempo stesso, il DPO deve essere pronto a cooperare e mantenersi in costante contatto con il Titolare/Responsabile del trattamento, fungendo altresì da punto di contatto con il Garante per la protezione dei dati personali.
Quali sono i compiti del DPO in un’azienda?
Il DPO svolge un insieme di compiti estremamente diversificati. In primis il DPO svolge compiti di informazione, sorveglianza e monitoraggio, con l’obiettivo di garantire piena efficacia al principio di accountability. Il principale compito di un DPO esterno o interno è la verifica della compliance aziendale con il GDPR oppure l’individuazione delle strategie di adeguamento GDPR che è necessario mettere in campo. Tuttavia, più che occuparsi concretamente di produrre la documentazione o elaborare le procedure necessarie, il DPO ha un ruolo consultivo.
È il Titolare che deve occuparsi concretamente di porre in essere trattamenti dei dati personali conformi al GDPR con l’obiettivo di minimizzare i rischi. Il Titolare/Responsabile del trattamento o chi per essi (ovvero le figure operative che rappresentano le funzioni aziendali di vendite, marketing, IT, amministrazione, gestione del personale e busta paga) richiedono la consulenza del DPO ogniqualvolta abbiano a che fare con procedure di trattamento dati per lo svolgimento dello scopo sociale dell’azienda.