Data Protection Officer (DPO) | GDPR

Chi è il Data Protection Officer?

Il Data Protection Officer (DPO) è la figura professionale che, attraverso attività di advisory, formazione e controllo, è deputata a sovrintendere che i trattamenti effettuati siano aderenti al rispetto del nuovo regolamento europeo. Inoltre funge da punto di contatto con l’autorità di controllo (Garante Privacy). Deve quindi avere competenze professionali in ambito informatico e giuridico e, preferibilmente, conoscenza dell’organizzazione per cui opera (conoscenza dei processi).

Il DPO deve operare in autonomia, con risorse adeguate per adempiere ai propri compiti. Può essere ricoperto da una figura interna o esterna all’azienda. Tuttavia i requisiti di autonomia e assenza di conflitto di interesse possono rendere complessa la designazione di personale dipendente. Alcuni ruoli come IT Manager, HR Manager, ecc…sono del tutto incompatibili.

Chi ha l’obbligo di nomina?

Il regolamento prevede chiaramente l’obbligo di nomina per i soggetti pubblici, all’interno dell’articolo 37. Purtroppo però, non è altrettanto chiaro quando si parla di aziende private. Il regolamento prevede l’obbligo di nomina per le aziende private, quando:

• L’attività principale del titolare (o responsabile) del trattamento consista nel trattamento su larga scala di categorie particolari di dati personali (art. 9) o relativi a condanne penali e a reati (art. 10).
• L’attività principale del titolare (o responsabile) del trattamento consista nel monitoraggio regolare e sistematico degli interessati su larga scala.

A rendere di difficile interpretazione l’articolo è il concetto di larga scala e attività principale.

Secondo le linee guida adottate dall’autorità di controllo per attività principale si intende il fatto che il trattamento di dati personali particolari costituisce un requisito fondamentale per l’esecuzione dell’attività del titolare o del responsabile.
Ad esempio: un’azienda (ospedale, clinica, …) che presta assistenza sanitaria ha come attività principale il trattamento di dati particolari perché per offrire tale assistenza è imprescindibile il trattamento dei dati sanitari del paziente.

Rispetto al concetto di larga scala all’interno delle linee guida pubblicate dall’autorità e pubblicate sul sito http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930287 viene chiarito che non esiste un “numero” oltre il quale si parla di larga scala ma piuttosto delle indicazioni rispetto ai parametri da utilizzare in fase di valutazione:

• Il numero di soggetti interessati rispetto alla popolazione di riferimento
• Il volume e le tipologie di dati trattati
• La durata delle attività di trattamento
• La portata geografica

La nomina del DPO può essere effettuata anche su base volontaria e i gruppi di lavoro incoraggiano tale approccio in quanto essa può rappresentare una dimostrazione tangibile dell’applicazione del concetto di “Accountability” (su cui tutto il regolamento si basa).

Conclusioni sulla figura professionale del Data Protection Officer

La figura del DPO è un elemento cardine nell’impianto organizzativo del nuovo Regolamento Europeo 679/2016 (GDPR), al momento rimangono comunque ampi spazi di interpretazione che devono essere valutati caso per caso e contestualizzati all’interno della propria organizzazione.

Ancora una volta l’importanza di un’analisi preventiva, accurata e consapevole, risulta essere il primo passo per procedere all’adeguamento della propria organizzazione rispetto al nuovo regolamento Europeo che entrerà in vigore il prossimo 25 maggio 2018

Vuoi scoprire se la tua impresa è pronta al cambiamento?

Verificalo subito con la nostra Checklist gratuita!

Tel: +39 0461 1900419

Email: info@leanevolution.com