DPO: cos’è e come scegliere la figura chiave del GDPR

L’introduzione nel 2018 del GDPR, o Regolamento europeo per la protezione dei dati personali (Regolamento UE 2016/679), ha fatto sì che nascessero figure professionali preposte ad occuparsi dei vari adempimenti a cui le aziende devono sottostare. Tra queste si trova anche quella del DPO, acronimo dell’inglese Data Protection Officer.

Tale figura è obbligatoria per organizzazioni complesse e internazionali, ma anche per la pubblica amministrazione e, in alcuni casi, anche in aziende private. A supporto delle aziende che necessitano di questa figura, nascono servizi di DPO esterni come quelli offerti da cyber40.it.

L’implementazione del sistema di protezione dei dati necessita di un approccio cosiddetto top-down, che coinvolge in sintesi il vertice gerarchico nell’azienda, così come i processi aziendali gestiti da tutti i dipendenti, ad ogni livello.

Un approccio corretto al GDPR è importante e necessita spesso di consulenti esterni, perché in gioco c’è il mantenimento della fiducia dei consumatori o utenti finali.

Chi può essere DPO

Avendo le aziende necessità di mettere in atto processi interni ed esterni a tutela dei dati personali dei propri utenti, è stata prevista la figura del Responsabile della Protezione dei Dati, il DPO.

È incaricato di sorvegliare che le disposizioni in materia di protezione dei dati personali vengano osservate nelle imprese e negli enti.

Questa figura viene selezionata in virtù delle qualità professionali e delle sue conoscenze della normativa e delle migliori pratiche per la protezione dati.

In estrema sintesi, il DPO:

• Riferisce al vertice aziendale o dell’ente;
• È indipendente;
• Non riceve istruzioni su come eseguire i suoi compiti.

Non tutte le aziende sono tenute ad avere un Responsabile della Protezione dei Dati. La norma prevede che sia obbligatorio sono in caso di:

• Enti pubblici;
• Aziende private in cui le attività principali consistano nel trattamento di dati personali per cui è previsto un continuo monitoraggio;
• Aziende private dove le attività principali prevedano il trattamento di informazioni sensibili o dati relativi a condanne penali e a reati.

DPO: ruolo e responsabilità in azienda

All’interno di un contesto aziendale o di pubblica amministrazione, il Responsabile della Protezione dei Dati, o DPO, riveste un triplice ruolo.

Il Data Protection Officer sarà innanzitutto un supervisore interno che deve dimostrare la conformità dei processi messi in atto.

Allo stesso tempo si ritroverà ad essere facilitatore e comunicatore nei confronti del vertice dell’organizzazione, ma anche verso l’esterno. Questo è importante perché se non applicato in modo corretto, il GDPR può generare sanzioni amministrative, e a livello nazionale, anche sanzioni a carattere penale.

Per raggiungere i suoi obiettivi, al DPO saranno attribuite risorse umane e finanziarie adeguate. Trattandosi di un ruolo molto delicato e con molte responsabilità, le aziende e le pubbliche relazioni preferiscono spesso affidarsi a realtà esterne, esperte in materia.

Il ruolo del DPO è centrale, ma esso non si sostituisce al Titolare del Trattamento, che avrà la responsabilità ultima delle modalità di trattamento dei dati, e che deve quindi assicurarsi che tutto venga fatto nel migliori dei modi.