DPO una figura sempre più richiesta nell’ambito della nuova normativa GDPR, scopriamo insieme perchè è così importante.
- DPO significato
- Nomina DPO, è obbligatorio?
- Compiti del DPO
- Requisiti per diventare DPO e conflitto di interessi
- Certificazione DPO
DPO significato (Data Protection Officer)
Tra le novità introdotte dal Regolamento UE 2016/679 (c.d. General Data Protection Regulation abbreviato GDPR) – ufficialmente operativo per tutti gli Stati Membri dal 25 maggio 2018 – rientra anche la figura del Responsabile della Protezione dei Dati o Data Protection Officer (DPO) secondo la terminologia anglofona.
Benché il Garante italiano per la privacy abbia descritto puntualmente tale figura sul proprio sito istituzionale – pubblicando allo scopo anche un’apposita scheda informativa – l’incertezza sui casi in cui il DPO deve essere designato, sui compiti che gli sono attribuiti per legge e sul valore delle certificazioni che lo riguardano è ancora piuttosto diffusa tra le aziende e le pubbliche amministrazioni nostrane.
Appare dunque utile riassumere brevemente ciò che prevede il Regolamento UE con riguardo al ruolo del DPO.
Nomina DPO, è obbligatorio?
NOMINA – il GDPR stabilisce che tutte le pubbliche amministrazioni ed enti pubblici, ad eccezione delle autorità giudiziarie, hanno l’obbligo di nominare un Responsabile della Protezione dei Dati. Tale obbligo riguarda anche tutti i soggetti privati (enti e imprese) che trattano su larga scala dati sensibili, come quelli relativi alla salute o alla vita sessuale delle persone, genetici, giudiziari e biometrici, come attività inclusa tra le principali oppure che svolgano attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati.
Un gruppo di imprese o di soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese che non rientrano tra i destinatari dell’obbligo di cui sopra, invece, possono decidere di dotarsi ugualmente di un DPO. Una volta designato il DPO, il Titolare del trattamento deve comunicare i dati di contatto del Data Protection Officer all’Autorità di Vigilanza attraverso un’apposita procedura online.
Compiti del DPO
FUNZIONI – Il Responsabile della Protezione dei Dati ha il compito di informare e consigliare il Titolare o il Responsabile del trattamento dati, nonché i dipendenti dell’azienda o della p.a, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre normative UE o degli Stati membri relative alla protezione dei dati.
Deve poi verificare che la normativa vigente e le policy interne adottate dal Titolare siano correttamente attuate ed applicate, ivi incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale ed i relativi audit.
Su richiesta, deve fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge, inoltre, da mediatore sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l’esercizio dei loro diritti.
E’ consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che ciò non comporti un conflitto di interessi e che abbia comunque il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del Regolamento Europeo.
Requisiti per diventare DPO e conflitto di interessi
REQUISITI – I Titolari del trattamento devono designare come Data Protection Officer un professionista che possieda una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali e che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente interno oppure come consulente esterno all’impresa o alla pubblica amministrazione.
E’ richiesto, inoltre, che il Titolare metta a disposizione del Responsabile della Protezione dei Dati personali le risorse umane e finanziarie necessarie all’adempimento delle sue funzioni.
Certificazione DPO
CERTIFICAZIONI – Attualmente non esistono titoli o attestati formali che abilitino al ruolo di Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali – specialmente quando sono rilasciate da enti indipendenti – costituiscono un valido strumento ai fini della verifica del possesso del livello di conoscenza della normativa richiesto.
Come ha però chiarito il Garante Privacy, il conseguimento di tali certificazioni non è obbligatorio ma consigliato.
>> Beta Imprese propone un corso online di formazione per diventare DPO.