Gdpr: come scegliere il DPO

Il Data Protection Officer è una figura centrale del regolamento europeo 2016/679 perché aiuta titolare e responsabile del trattamento ad essere in regola con il Gdpr.

Ci siamo già occupati delle situazioni nelle quali è addirittura obbligatorio nominare un data protection officer, ovvero quando ricorrano tre casi specifici.

Nei giorni scorsi, però, è stato proprio il Garante a diramare una scheda riassuntiva che ha aggiunto, alle suddette situazioni di obbligatorietà, anche requisiti e compiti del DPO.

Requisiti del DPO

Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

  1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze; 
    La scheda riassuntiva del Garante
  2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse . In linea di principio, ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
  3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).
    Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Dal punto 1 mi soffermerei, oltre che alla normale richiesta di competenza in materia di privacy, sul fatto che, ad oggi, non esistano ancora forme di attestazioni o albi professionali (neanche un codice ateco specifico se è per questo).

Di conseguenza, in un settore che è esploso dal punto di vista professionale non è facilissimo districarsi. Per scegliere un DPO, però, basterebbe ad esempio richiedere attestazioni del percorso di studi e quello professionale.

Il punto 2 chiarisce un aspetto fondamentale del Data Protection Officer ovvero il fatto che debba agire in autonomia e senza penalizzazioni in caso di disaccordo con il titolare del trattamento dei dati. Potrà sembrare una difficoltà ma la considero una risorsa il fatto che il professionista che avete scelto operi per il bene dell’organizzazione o impresa al di là delle convinzioni di chi le guida.

Infine, al punto 3, un aspetto meramente contabile e fiscale: il DPO può essere un dipendente oppure un consulente esterno. Io preferisco la seconda opzione per gli evidenti motivi già esposti al punto precedente. Un consulente esterno non potrà cadere in situazioni di conflitto di interessi.

Compiti del DPO

Il Responsabile della protezione dei dati dovrà, in particolare:

a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità; 

b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);

c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;

d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;

e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento . 

Come adeguare il sito internet al Gdpr

Dai compiti del Data Protection Officer indicati dal Garante si intuisce, secondo me, lo spirito con il quale il professionista dovrebbe approcciarsi. E’ vero che il suo primo compito è sorvegliare l’osservanza del regolamento ma con l’intento di collaborare con il titolare del trattamento e di cooperare con il Garante. 

Ne emerge una figura che agevoli il lavoro delle organizzazioni o delle imprese e non che lo ostacoli. Quando sceglierai il tuo DPO valuta, insieme ai requisiti di carattere professionale, anche la propensione al lavoro in team. Il DPO non è avulso dal contesto nel quale opera, ecco perché secondo me si tratta di una figura manageriale a tutto tondo.

Richiedi il tuo adeguamento al Gdpr

Facebook Comments