A partire da maggio 2018 sarà introdotta la figura del Data Protection Officer (DPO), prevista dal Regolamento generale sulla protezione dei dati (GDPR), che sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea. La responsabilità principale del DPO sarà quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali all'interno di un’azienda, pubblica o privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO potrà rimanere in carica, come minimo, due anni, rinnovabili alla scadenza.
Quali sono i requisiti?
Il Data Protection Officer dovrà possedere un'adeguata conoscenza della normativa, delle prassi di gestione dei dati personali e competenze giuridiche, informatiche, di risk management e di analisi dei processi.
Dovrà svolgere il suo ruolo in piena indipendenza e in assenza di conflitti di interesse in azienda. Inoltre dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà essere un dipendente interno all'azienda oppure esterno in forza di un contratto di servizi.
Quali sono i suoi compiti?
I compiti del Data Protection Officer saranno:
• Informare il titolare e gli incaricati circa gli obblighi derivanti dai dati trattati
• Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane
• Assicurare che la documentazione sia redatta ed aggiornata
• Monitorare che accessi illeciti ai dati siano notificati dal controller, senza ritardo, nel rispetto della norma, all’autorità Garante
• Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data Protection Impact Assessment) ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati personali
• Cooperare con l’autorità Garante per la Privacy.
Quali sono i casi di nomina obbligatoria del DPO?
Il DPO sarà obbligatorio nel caso in cui il trattamento dei dati personali sia effettuato:
• da una pubblica amministrazione o da un suo organismo
• da società con più di 250 dipendenti
• da aziende, le cui attività principali siano costituite da sistematico e regolare monitoraggio delle persone interessate, oppure se l'attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari.
Sebbene il GDPR non richieda figure professionali certificate, le certificazioni saranno utili alle aziende nel dare evidenza della scelta effettuata in merito alla figura del Data Protection Officer.
Inoltre considerata l’importanza che questa nuova figura professionale andrà ad assumere, è importante che tali figure abbiano le competenze e conoscenze adeguate al ruolo, che possono essere affinate seguendo i giusti corsi di formazione.
Per maggiori informazioni sui corsi di formazione e sulla certificazione:
GDPR, il Regolamento sulla Protezione dei Dati: cosa devono sapere le aziende. Leggi l'articolo
Per saperne di più su come prepararsi al GDPR: