Il DPO, acronimo di Data Protection Officer, è la figura aziendale che supervisiona le attività di trattamento dei dati personali, secondo quanto previsto dalla normativa GDPR. Il Regolamento europeo ne traccia il profilo, stabilendone i compiti e indicando i casi in cui la sua nomina è obbligatoria. Ma quali sono i requisiti richiesti per ricoprire questo ruolo? E come funziona il meccanismo di nomina?
GDPR e DPO, chi è e cosa fa il Data Protection Officer
La figura del Data Protection Officer, comunemente abbreviata con la sigla DPO, è stata investita di un ruolo chiave dal cosiddetto GDPR, cioè il Regolamento generale sulla protezione dei dati, di matrice europea. È a lui che viene affidato, all’interno di un’azienda o di una pubblica amministrazione, il compito di osservare, valutare e organizzare tutto ciò che riguarda il trattamento e la protezione dei dati personali. Una sorta di custode della privacy, che veglia affinché vengano rispettate tutte le normative, nazionali ed europee. Nella pratica quotidiana, lavora a stretto contatto sia con il Titolare che con il Responsabile del trattamento dei dati personali.
Più nello specifico, i compiti minimi del DPO sono identificati dall’articolo 39 del GDPR e sono:
- Informare e fornire consulenza in merito agli obblighi che derivano dal GDPR e dalle altre norme europee e italiane (i destinatari di questa attività consulenziale sono il Titolare e il Responsabile del trattamento dei, così come i dipendenti che lo eseguono);
- Sorvegliare l’osservanza del GDPR e delle altre disposizioni in materia di privacy;
- Sorvegliare l’osservanza delle politiche del Titolare e del Responsabile del trattamento (come l’attribuzione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto, ecc);
- Fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- Cooperare con l’autorità di controllo;
- Fare da tramite e punto di contatto per l’Autorità Garante per la Privacy.
Il Regolamento, però, lascia aperta la possibilità che al Data Protection Officer vengano affidati anche altri compiti. Di certo, nello svolgimento di tutte queste mansioni, il DPO deve essere assolutamente autonomo e indipendente e non riceve indicazioni e istruzioni da nessun altro soggetto.
La nomina del DPO, requisiti e figure coinvolte
I requisiti di autonomia e indipendenza di cui si è appena detto, fanno propendere per una visione del DPO come di una figura esterna all’azienda, un consulente svincolato da qualsiasi subordinazione. La legge, però, permette di assegnare l’incarico anche a un dipendente.
A procedere alla designazione sono o il Titolare del trattamento dei dati o il Responsabile, che provvederanno anche alla tempestiva comunicazione all’Autorità garante.
Come diventare DPO: i requisiti richiesti
Ad oggi non esistono specifici percorsi abilitanti per poter accedere alla professione di Data Protection Officer. La normativa si limita a segnalare, come requisito fondamentale da verificare prima di nominare un DPO, la conoscenza specialistica della normativa e della prassi che riguardano la gestione dei dati personali.
Esistono però diversi percorsi formativi dedicati a questa figura, che si concludono con il rilascio di specifiche certificazioni, spendibili in sede di colloquio per l’assunzione di un incarico.
Certificazione EIPASS DPO – Tutti i dettagli
La nomina del DPO, obbligatoria o facoltativa?
La nomina del Data Protection Officer è, di base facoltativa. Il DPO diventa obbligatorio solo in tre casi:
- per la Pubblica Amministrazione e per gli Enti Pubblici (eccetto l’autorità giudiziaria nell’esercizio delle proprie funzioni);
- per le organizzazioni le cui attività principali consistono nel trattamento, su larga scala, di dati che richiedono un monitoraggio regolare e sistematico degli interessati;
- per le organizzazioni le cui attività principali consistono nel trattamento, su larga scala, di dati giudiziari o appartenenti a particolari categorie.