Il DPO: la nuova figura del GDPR

Il Data Protection Officer 

Tra le innumerevoli novità introdotte dal GDPR – il Regolamento generale sulla protezione dei dati 2016/679 – vi è anche l’introduzione di una nuova figura aziendale: il Data Protection Officer (DPO). 

Ruolo del DPO

Il DPO è un professionista con competenze giuridiche, informatiche, di risk management e di analisi di processi.
Il suo ruolo è quello di valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati in ottemperanza alle normative privacy europee e nazionali.

Nello specifico, il DPO è incaricato di svolgere alcuni compiti specifici sanciti dall’art.39 del GDPR: 

  1.  Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché i dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
  6. nell’eseguire i propri compiti il responsabile della protezione dei dati (Privacy Officer) considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Quando è obbligatorio il DPO?

Secondo la norma, il DPO è una figura obbligatoria solo in tre casi: 

  • Per le amministrazioni e gli enti pubblici, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
  • Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Quando le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

DPO: interno o esterno?

La figura del DPO può essere individuata internamente oppure esternamente all’azienda.

Nel primo caso, la figura dovrà essere scelta tenendo conto delle caratteristiche di esperienza, capacità ed affidabilità.
Qualora il DPO venga nominato tra il personale dipendente, sarà fondamentale che si rispettino i requisiti di autonomia e indipendenza nell’esercizio delle sue funzioni, nonché l’ 
assenza di conflitti di interesse.
In tal senso, il ruolo di DPO non può essere ricoperto da un soggetto che si trova ai vertici aziendali, in grado di influenzare le scelte adottate per il trattamento dei dati.

In alternativa, la figura del DPO può essere ricoperta da una figura esterna all’azienda, che ricoprirà anche il ruolo di responsabile del trattamento.
Quest’ultima opzione è sempre preferibile, in quanto garantisce una maggior condizione di autonomia del DPO rispetto a un DPO interno. 

 

Se vuoi saperne di più sulla figura del DPO, richiedi una consulenza senza impegno con i nostri esperti: ti aiuteranno ad individuare la soluzione migliore per la tua azienda.

 

Post Correlati