Il Data Protection Officer, conosciuto come DPO, è una figura ormai essenziale in molte aziende grazie al Regolamento Generale sulla Protezione dei Dati (GDPR). Molte domande sorgono spontanee: chi ha bisogno di un DPO? È obbligatorio in tutte le aziende? Come cercare questa figura?

 

Il Data Protection Officer è una sorta di figura ibrida fra consulente e vigilante dei processi interni all’azienda.

Inoltre, il suo ruolo funge da ponte con l’Autorità Garante nazionale. Trattasi di un professionista scelto dal titolare o dal responsabile del trattamento per controllare l’applicazione del GDPR.

Infatti, il DPO può essere una figura esterna o interna all’azienda che opera in piena autonomia, con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

Esistono corsi di formazione che offrono una certificazione della qualifica di DPO ma non esiste l’iscrizione in appositi albi o una specifica attestazione formale (laurea, abilitazione, ecc). Dunque, come individuare la giusta figura per la propria azienda? Perché è importante?

 

I compiti di un Data Protection Officer

L’elenco dei compiti del DPO è indicato nell’art. 39 del Regolamento europeo sulla protezione dei dati.

I doveri di un Data Protection Officer indicati sono:

      1. informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento. Questo in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
      2. sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. Questi coinvolgono anche le politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali. Sono compresi anche l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
      3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
      4. cooperare con l’autorità di controllo;
      5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento. Tra queste la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Avere un Data Protection Officer è obbligatorio?

La nomina del DPO è obbligatoria in questi casi:

  • il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico;
  • le organizzazioni private svolgono funzioni pubbliche o esercitano pubblici poteri;
  • il core business dell’azienda consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati;
  • il trattamento dei dati sensibili è su larga scala (ad esempio la geo-localizzazione, il trattamento dei dati bancari, i dati personali degli utenti per l’invio di pubblicità mirata). Anche se non sono dati non su larga scala, sono compresi anche i dati personali di natura penale e i dati medici.

 

Cerchi un partner affidabile per la sicurezza informatica?

Ecco cosa possiamo fare per la tua azienda!

 

Perché è importante un Data Protection Officer?

Se il business si fonda sul monitoraggio regolare e sistematico dei dati, il DPO diventa una figura chiave.

Il monitoraggio avviene in modo costante o a intervalli periodici? Si verifica a intervalli definiti per un arco di tempo definito? Avviene in modo metodico o in un progetto complessivo di raccolta di dati? Ecco che il Data Protection Officer può essere di aiuto per numerose attività.

Si parte delle più ovvie attività di marketing basate sull’analisi dei dati, email retargeting e telecomunicazioni per arrivare all’utilizzo di telecamere per i sistemi di TVCC. Queste includono quindi anche tutte le attività dei programmi di fidelizzazione, le profilazioni per premi assicurativi o valutazioni del rischio creditizio. Sono compresi persino dispositivi indossabili o app su dispositivi mobili che monitorano forma fisica, salute, ubicazione, domotica, ecc.

Si parla dunque di una mole di dati personali a livello regionale, nazionale, europeo o addirittura internazionale che potrebbero incidere su un vasto numero di interessati. Questo potenzialmente presenta un rischio elevato.

 

Come scegliere un Data Protection Officer?

Il Gruppo dell’articolo 29 per la tutela dei dati incoraggia la nomina del DPO anche quando il GDPR non la richiede espressamente. Questo per rendere più agevole l’approccio delle aziende al GDPR. Quindi, come trovare il Data Protection Officer giusto per la propria azienda?

Premessa importante: i titolari agiscono in assoluta autonomia circa le modalità di selezione dei propri DPO. Questo implica una valutazione soggettiva del possesso dei requisiti necessari per svolgere i compiti da assegnati con gli strumenti che ritengono consoni al proprio settore.

Tuttavia esistono delle Linee Guida che prevedono questi aspetti:

  • individuare le posizioni non compatibili con la funzione di DPO
  • elaborare un regolamento interno per evitare conflitti di interesse
  • includere una spiegazione più generale sui conflitti di interesse
  • dichiarare che il DPO scelto non ha conflitti di interessi per quanto riguarda la sua funzione
  • includere nelle norme interne la garanzia che il contratto di servizio risulta preciso e dettagliato.

È fondamentale verificare l’approfondita conoscenza delle normative e delle prassi in materia di privacy e amministrazione che caratterizzano il proprio settore di riferimento. Poi è opportuno privilegiare i soggetti che possono dimostrare le proprie qualità professionali, ad esempio documentando esperienze, partecipazione a master e corsi di studio/professionali specifici, ecc.

 

Data Protection Officer e cybersecurity

Oggi i dati sono la base e la ricchezza per molte attività. Infatti, queste informazioni fanno gola a tutti i cybercriminali. Per questo ogni dato deve essere gestito e protetto in modo esemplare. Come? Migliorare la sicurezza aziendale realizzando procedure, organizzando sessioni formative e diffondendo best practice operative.

Il Data Protection Officer è un tassello per la protezione dei dati in azienda. Il DPO dev’essere inserito in un progetto più ampio, che prevede la definizione protocolli di intervento (cybersecurity) e la giusta formazione del personale (Security Awareness).

Ecco che nelle aziende si crea una “squadra per la sicurezza” dove, oltre al DPO, opera anche il CISO (Chief Information Security Officer), il CSO (Chief Security Officer) e il CIO (Chief Information Officer).

 

E ora, pronti a trovare il vostro Data Protection Officer?

 

 

Share This