Il DPO o Data Protection Officer rappresenta una delle novità più importanti della nuova disciplina per la tutela dei dati personale, nota anche come GDPR. Dopo qualche mese di applicazione di quest’ultima e numerosi approfondimenti da parte degli addetti ai lavori, oggi è più chiaro quale sia il suo ruolo e chi sia tenuto a nominarlo su base obbligatoria.

Chi è il DPO e di cosa si occupa
Il Data Protection Officer è il responsabile per la protezione dei dati personali che l’azienda raccoglie, gestisce e tratta nell’ambito delle sue attività di business.  L’istituzione di tale figura è prevista dall’articolo 37 del regolamento UE 2016/679. Il profilo del DPO immaginato dal legislatore, è quella di un consulente tecnico con poteri esecutivi, in grado di analizzare le modalità di contatto con dati personali da parte dell’azienda, nonché le procedure di raccolta e stoccaggio dei medesimi, consigliando infine il responsabile del trattamento e della conservazione avendo come obiettivo fondamentale la garanzia degli standard imposti. Il suo ruolo non deve essere soggetto alla gerarchia aziendale ma piuttosto fungere da interfaccia con le autorità di controllo, in una relazione che è stata concepita come “motore” di una ottimizzazione continua.

I compiti del DPO in sintesi
Sulla base di quanto detto sopra, risulta chiaro che il DPO deve anzitutto informare i vari addetti sugli obblighi che derivano dal GDPR in quanto riferiti ai dati raccolti durante il normale espletamento delle operazioni di business aziendale. Successivamente deve proporre l’adozione di politiche in grado di garantire il rispetto della normativa comunitaria e di quella nazionale, sorvegliare sull’osservanza delle medesime e fungere da punto di contatto con le autorità di controllo fornendo loro le informazioni necessarie in caso di approfondimenti.

Chi ha l’obbligo di nominare il DPO
Nel rispetto del principio che prevede misure di protezione dei dati personali solo in funzione di effettive necessità, non tutte le aziende hanno l’obbligo di nominare il Data Protection Officer. In particolare non sono tenute alla nomina del DPO le piccole e medie imprese che abbiano contatto con dati personali unicamente per le attività connesse alla gestione corrente dei rapporti con fornitori e dipendenti. Al contrario devono nominare il DPO le aziende le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. In altri termini tutte le aziende che fanno del trattamento di dati personali una componente centrale del loro business. Ne sono un esempio le banche, le assicurazioni, le società finanziarie, gli istituti di vigilanza, le società che operano nella sanità e nella cura della salute in generale, le società informatiche e di marketing operativo e molte altre.

Quali competenze deve avere il DPO
Il Data Protection Officer svolge un ruolo molto delicato negli equilibri di un’azienda. Questo soprattutto in considerazione degli obblighi del GDPR e delle sanzioni ad esso connesse. Le competenze necessarie non possono che essere complesse e riconducibili come minimo ad una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, conoscenza del settore di attività e delle operazioni di trattamento svolte, nonché dei sistemi informativi preposti alla protezione dei dati stessi. Non è necessario che il DPO possieda attestati formali particolari o che sia iscritto ad un albo specifico, né sono previste abilitazioni dedicate. Ciò non toglie che il suo ruolo debba prevedere una competenza solida ed una capacità di relazionarsi direttamente con la Direzione Generale dell’azienda allo scopo di rappresentare le situazioni più complesse e pianificare i conseguenti interventi.

Il Data Protection Officer può essere nominato selezionando un dipendente dell’azienda o individuando un fornitore esterno alla stessa. La valutazione avverrà in funzione di considerazioni legate alle competenze richieste, alla necessità di indipendenza, ai costi correlati, al bisogno di un ruolo full-time o part-time e alla disponibilità contingente di figure adeguate.