L'art. 37 del Regolamento Europeo Privacy (2016/679 Regolamento Generale sulla Protezione dei Dati-GDPR) ha introdotto l'obbligo di adeguare l'organigramma aziendale della privacy, prevedendo la figura del DPO ovvero del Responsabile per la Protezione dei Dati. Vediamo nel dettaglio quali sono le imprese tenute a nominare il DPO e quali sono i compiti della nuova figura professionale.
Devono nominare un DPO tutte le aziende le cui attività principali riguardano il trattamento dei dati che, per finalità, oggetto o natura, richiedono il monitoraggio regolare e sistematico su larga scala degli interessati. Ad esempio tutte le aziende la cui attività principale consiste nel trattamento di dati sensibili, relativi alla salute oppure dati genetici, giudiziari e biometrici. In tutti gli altri casi è possibile nominare la figura del DPO su base volontaria.
Quali sono i compiti del Responsabile per la Protezione dei Dati?
Il DPO ha la responsabilità di far rispettare le normative europee e nazionali in materia di privacy e i suoi compiti principali sono l'osservazione, la valutazione e la gestione dei dati personali.
La nuova figura dovrà essere sempre coinvolta nelle questioni inerenti la protezione dei dati e nello specifico si occuperà di sorvegliare sull'osservanza del regolamento e verificare le attribuzioni delle responsabilità.
In tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore. Inoltre, si dovrà occupare di sensibilizzare, informare e formare il titolare, i responsabili e i dipendenti dell'azienda ed essere il punto di incontro con l'Autorità Garante. In tutti i casi, il DPO dovrà lavorare in maniera autonoma e indipendente per assicurare che ulteriori mansioni e funzioni non entrino in conflitto di interessi perché altrimenti il DPO dovrebbe in pratica controllare se stesso.
Quali i requisiti della nuova figura professionale?
Il DPO dovrà possedere adeguate conoscenze della normativa e della prassi di gestione dei dati personali. Un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento, sono le competenze core.
In fase di nomina sarà quindi importante valutare candidati che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Il DPO potrà essere selezionato anche tra i dipendenti dell'azienda oppure potrà essere un libero professionista, legato all'azienda da un contratto di servizi.