General Data Protection Regulation

Data Protection Officer | DPO

Il Data Protection Officer (D.P.O.) è una delle nuove figure professionali che operano nell’ambito della privacy aziendale, già prevista prima dell’entrata in vigore della nuova normativa europea sul GDPR in alcuni ordinamenti europei, ma da quest’ultima introdotta per la prima volta nella legislazione italiana e compiutamente definita e disciplinata a livello europeo.

In italiano la denominazione legislativa del DPO è quella di Responsabile della Protezione dei dati, da non confondere con il Responsabile del Trattamento dei dati personali, che è una figura assolutamente diversa, con differente profilo di responsabilità.

La caratteristica peculiare della figura del Data Protection Officer consiste nella spiccata autonomia decisionale assegnata nell’esercizio delle proprie mansioni; a tale potere decisionale l’ordinamento ricollega la conseguente responsabilità per gli atti compiuti nell’esercizio della propria discrezionalità.

I poteri assegnati derivano direttamente dal Titolare del trattamento, che è il soggetto designato dalla normativa a nominare il DPO.

L’obbligo di designazione del D.P.O. è sancito dall’art.37 del Regolamento UE 2016/679 a carico delle pubbliche amministrazione e degli enti pubblici, ed inoltre a carico di tutti i soggetti non pubblici la cui attività principale implichi trattamenti che richiedano un monitoraggio regolare e sistematico degli interessi su larga scala o che riguardino dati sensibili relativi alla salute, alla vita sessuale, alle caratteristiche genetiche, agli aspetti giudiziari o biometrici.

Sebbene la formulazione normativa lasci ampi spazi di interpretazione, è opportuno sottolineare che, come precisato anche dall’autorità garante della Privacy, è bene procedere alla nomina in tutti i casi in cui questa non sia espressamente esclusa (ciò avviene esclusivamente per agenti di commercio, rappresentanti, mediatori, imprese individuali e familiari e liberi professionisti operanti in forma non associata), e certamente per le aziende con più di 250 dipendenti o che trattino dati sensibili.

Possono essere nominati al ruolo di D.P.O. i dipendenti aziendali o un soggetto esterno, sia persona fisica che giuridica, purché dotati di idonee competenze.

Pur non prevedendo l’istituzione di un albo apposito, la normativa pone a carico del responsabile del trattamento l’onere di provare di aver effettuato la scelta della figura del DPO in modo adeguato a ricoprire il ruolo; prova che può essere di fatto fornita solo attraverso i titoli detenuti dal soggetto incaricato (certificazioni, master, attestati di formazione).

Netlux è una società idonea ad assolvere professionalmente il ruolo di D.P.O., disponendo delle competenze professionali specifichecertificate sia con riferimento alla normativa GDPR che riguardo alla consulenza IT di livello avanzato; inoltre offre una gamma flessibile di formule garantite di consulenza aziendale che assicurano la totale compliance normativa ed i più alti livelli di protezione effettiva dei dati trattati.

I compiti del Data Protection Officer presumono competenze trasversali di tipo giuridico e di tipo tecnico informatico, ed inoltre competenze di risk management e di analisi dei processi, oltre alla conoscenza specifica delle prassi in materia di gestione dei dati personali utilizzate nel settore in cui opera l’azienda per la quale supervisiona il trattamento; competenze che all’occorrenza, e in caso di aziende con dimensioni particolarmente ampie o con modalità di gestione particolarmente complesse, possono essere integrate con risorse professionali esterne specializzate.

Quanto alle mansioni specifiche, il D.P.O. innanzitutto informa e fornisce consulenza al titolare, al responsabile del trattamento ed ai soggetti che intervengono a vario titolo nel trattamento dei dati relativamente alla normativa ed agli obblighi da essa sanciti; procede alla sorveglianza circa l’effettiva osservanza del regolamento GDPR e delle policies aziendali stabilite in materia (dal titolare del trattamento) da parte dei soggetti che partecipano al trattamento; coopera con l’autorità di controllo fornendo informazioni e relazioni e fungendo da punto di contatto per qualsiasi questione connessa al trattamento dei dati personali da parte dell’azienda.