A far data dal 25 maggio 2018 il Data Protection Officer (DPO) sarà obbligatorio per tutti i 28 Stati dell'Unione Europea. La figura professionale, già nota in molte legislazioni europee, dovrà essere obbligatoriamente presente all'interno delle aziende pubbliche e in tutte quelle dove i trattamenti dei dati presentino specifici rischi, ovvero siano potenzialmente in grado di ledere gravemente i diritti degli interessati.
E' l'art. 37 del Regolamento Europeo Privacy (2016/679 Regolamento Generale sulla Protezione dei Dati-RGPD) che ha introdotto l'obbligo, per alcune società, di adeguare il proprio organigramma privacy inserendo la figura del DPO ovvero il Responsabile per la Protezione dei Dati.
Come detto in precedenza, non tutte le aziende dovranno nominare un DPO. Dovranno farlo le aziende le cui attività principali riguardano il trattamento dei dati che, per finalità, oggetto o natura, richiedono il monitoraggio regolare e sistematico su larga scala degli interessati. Sono obbligate a nominare un DPO anche tutte le aziende la cui attività principale consiste nel trattamento di dati sensibili, relativi cioè alla salute o alla vita sessuale oppure dati genetici, giudiziari e biometrici. In tutti gli altri casi in cui la figura del DPO non è imposta da regolamento è possibile nominarlo su base volontaria.
Quali sono i compiti del Responsabile per la Protezione dei Dati?
Il compito principale del DPO è l'osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
La nuova figura dovrà essere sempre coinvolta nelle questioni inerenti la protezione dei dati e nello specifico si occuperà di sorvegliare sull'osservanza del regolamento e verificare le attribuzioni delle responsabilità. Inoltre, si dovrà occupare di sensibilizzare, informare e formare il titolare, i responsabili e i dipendenti dell'azienda; essere il punto di incontro con l'Autorità Garante per la protezione dei dati personali; consigliare chi gestisce il trattamento dei dati sull'eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento; controllare che in caso di violazioni dei dati personali, oltre a notificare e comunicare, sia tenuta adeguata documentazione. In tutti i casi, il DPO dovrà lavorare in maniera autonoma e indipendente per assicurare che ulteriori mansioni e funzioni non entrino in conflitto di interessi perché altrimenti il Dpo dovrebbe in pratica controllare se stesso.
Quali i requisiti della nuova figura professionale?
Il DPO dovrà possedere adeguate conoscenze della normativa e della prassi di gestione dei dati personali. Avrà competenze e conoscenze specialistiche acquisite tramite specifici percorsi di formazione e all'esperienza diretta sul campo. Tale figura potrà essere selezionata tra i dipendenti dell'azienda oppure potrà essere un libero professionista, legato all'azienda da un contratto di servizi.