Data Protection Officer, chi è e cosa fa

Con il nuovo Regolamento sul Trattamento dei Dati UE 2016/679 (General Data Protection Regulation – GDPR 2018), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, viene introdotta una nuova figura professionale già per altro presente in alcune legislazioni europee.

Parliamo del DPO, il Data Protection Officer, colui cioè che si occuperà di vigilare sulla protezione dei dati degli utenti nelle piattaforme informatiche di imprese, aziende ed istituzioni. Il DPO è un professionista che può essere interno o esterno all’azienda che ne richiede la presenza e deve avere competenze giuridiche ed ovviamente informatiche. Il DPO ha la responsabilità di osservare e di intervenire sulla gestione del trattamento dei dati personali affinché essi siano conformi alle nuove direttive europee e nazionali.

Le direttive del GDPR 2018 entreranno in vigore il 25 maggio 2018 e tutte le entità pubbliche o private dovranno adeguare le proprie infrastrutture informatiche al regolamento, pena importanti sanzioni amministrative che possono arrivare fino a 100 milioni di euro o fino al 4% del fatturato mondiale annuo del titolare del trattamento.

La presenza di un DPO, Data Protection Officer, diventa dunque cruciale per tutte quelle realtà che gestiscono una grande mole di dati sensibili informatizzati. In particolare il DPO si ritiene necessario laddove i dati, per loro natura, richiedono un monitoraggio regolare e sistematico; laddove i dati riguardano categorie particolari o riguardano condanne penali e reati.

Per categorie particolari (rinvenibili all’articolo 9 del Regolamento GDPR 2018) si intendono i “dati sensibili” che rivelano l’origine razziale o etnica, convinzioni politiche, religiose o filosofiche, l’appartenenza sindacale, dati biometrici, genetici e l’orientamento sessuale della persona.

Veniamo ora agli “incarichi” del Data Protection Officer. I compiti di questa importante figura professionale vengono scanditi all’art. 39 del Regolamento e possono essere così riassunti:

  • informare e fornire consulenza al Titolare del trattamento e alle persone che eseguono il trattamento
  • vigilare sull’osservanza del regolamento
  • fornire un parere, quando richiesto, in merito alla valutazione d’impatto sulla protezione dei dati
  • dare supporto all’autorità di controllo
  • esercitare una funzione di contatto per l’autorità di controllo

Affidarsi ad un DPO esperto dovrà dunque essere una nuova priorità per tutte le aziende che trattano dati personali, ricordando che molto importante sarà anche il tema della cancellazione dei dati non appropriati. Il nuovo Regolamento infatti introduce anche il concetto di Diritto all’Oblio.