Con la globalizzazione e l’evoluzione tecnologica, i rischi a cui sono esposti i dati personali sono aumenti in modo significativo. La condivisione e la raccolta di tali dati è, infatti, al centro di numeri processi e tanto le imprese private quanto le pubbliche amministrazioni gestiscono una quantità impressionante di informazioni sensibili. E’, quindi, necessario prevedere misure di sicurezza adeguate.

Il Regolamento UE 679/2016 ha risposto a questa esigenza introducendo la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD). Tale provvedimento, entrato in vigore il 25 maggio 2016, troverà applicazione in tutti gli stati dell’UE a partire dal 25 maggio 2018.

L’introduzione del DPO non è una novità assoluta nel panorama legislativo europeo. Nonostante, infatti, nessuna legge comunitaria ne avesse previsto l’istituzione, molti stati l’avevano già ufficializzata recependo la direttiva 95/46/CE. Nel mondo anglosassone, ad esempio, questo profilo professionale è conosciuto da tempo sotto diversi nomi: Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.

I requisiti del DPO

Il DPO può essere selezionato tra i dipendenti del titolare del trattamento dati oppure può essere un libero professionista e deve possedere i seguenti requisiti:

  1. un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative, per garantirne la sicurezza. Non sono richieste attestazioni formali o l’iscrizione ad albi professionali, anche se la partecipazione a master e a corsi professionali può rappresentare un utile strumento;
  2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;
  3. operare alle dipendenze del titolare o del responsabile del trattamento dati oppure sulla base di un contratto di servizio (DPO esterno).

Il Regolamento europeo prevede, dunque, che il DPO debba possedere un insieme di competenze giuridiche, informatiche, di risk management, di analisi dei processi, ecc.. Le sue delicate responsabilità consistono nell’osservare, valutare e organizzare la gestione dei dati personali, e dunque la loro protezione, all’interno di un’azienda, affinché siano trattati nel rispetto delle normative europee e nazionali.

In quali casi è previsto

Il Regolamento europeo prevede l’obbligo di designare un DPO – per aziende private e pubbliche amministrazioni che trattano dati sensibili – in tre diversi casi:

  1. quando il trattamento è effettuato da amministrazioni pubbliche, da enti pubblici o da organismi pubblici (fatta eccezione per le autorità giudiziarie nell’esercizio delle loro funzioni);
  2. quando si ha a che fare con trattamenti che, per natura, oggetto o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. quando il trattamento riguarda dati sensibili genetici, biometrici o relativi a condanne penali, alla salute o alla vita sessuale.

Infine, anche per i casi in cui il Regolamento non impone la designazione di un DPO, è comunque possibile la nomina su base volontaria.

Le funzioni del DPO

Secondo l’art. 39 del Regolamento europeo, il Responsabile della protezione dei dati dovrà in particolare:

  1. sorvegliare l’osservanza del Regolamento e delle altre disposizioni dell’Unione o degli stati membri relative alla protezione dei dati, valutando i rischi di ogni trattamento in base alla natura, all’ambito di applicazione, al contesto e alle finalità dello stesso;
  2. collaborare con il titolare/responsabile del trattamento nel condurre una valutazione d’impatto sulla protezione dei dati (DPIA);
  3. informare, sensibilizzare e fornire consulenza al titolare o al responsabile del trattamento in merito agli obblighi del Regolamento e dalle altre disposizioni in materia di protezione dei dati;
  4. fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  5. cooperare con l’autorità di controllo per questioni connesse al trattamento dei dati;
  6. supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche in merito alla tenuta di un registro delle attività di trattamento.

Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati, sostenuto nell’esecuzione delle sue funzioni dal titolare e dal responsabile del trattamento che gli devono fornire le risorse necessarie a portare a termine i suoi compiti e per essere sempre aggiornato. In qualunque caso, il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione né indicazione in merito.

Il DPO e le imprese virtuose

È chiaro che l’introduzione di tale figura non serve solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro – il DPO appunto – il compito della protezione dati ma, anche e soprattutto, a permettere che sia un esperto ad occuparsi della materia, in linea con la complessità che la sfera della privacy e del trattamento dei dati hanno acquisito in un mondo digitalizzato. Inoltre, è diritto degli interessati poter contattare il responsabile per tutte le questioni relative al trattamento dei loro stessi dati.

In conclusione, è bene tenere in considerazione che, per garantire standard di sicurezza adeguati, oggi le imprese dovrebbero nominare un DPO anche quando non sia obbligatorio per legge. E, proprio in relazione alla domanda crescente di competenze specialistiche in questo ambito, l’agenzia Argo 2001 New mette a disposizione specifiche figure professionali in grado di svolgere tali mansioni.

E’, infatti, indispensabile affidarsi a professionisti di comprovata esperienza per essere certi che dati così delicati non trapelino, che siano gestiti in modo sicuro e che siano trattati con la massima diligenza e scrupolosità.

<<Per saperne di più>>