Caricamento...
img

Data Protection Officer

DPO: la vera e propria anima del sistema privacy aziendale.

Creato da Andrea Palumbo, il 01/03/2018

Dopo anni di gestazione, tra meno di due mesi sarà applicabile a tutte le aziende la nuova normativa sulla protezione dei dati personali, il cosiddetto “GDPR”.

La nuova disciplina, che innova sensibilmente le precedenti disposizioni legislative in materia, costituisce una vera e propria rivoluzione.

Con la sua introduzione, tutti i soggetti che trattano dati personali dovranno adottare in azienda un vero e proprio sistema di gestione privacy, che dovrà essere applicato e costantemente aggiornato.

A differenza del passato, infatti, il “GDPR” introduce espressamente il principio di responsabilizzazione, ovvero il principio secondo cui è compito di chi tratta i dati adempiere agli obblighi normativi e poter dimostrare, qualora richiesto dalle Autorità, la propria conformità alla legge.

Ciò si traduce, da un lato, nella riduzione di obblighi burocratici verso le amministrazioni pubbliche (niente più notificazioni o richieste di autorizzazioni al Garante Privacy), ma, dall’altro, nel rafforzamento delle strutture di gestione dei dati di ogni impresa.

Al centro di questo nuovo modello di gestione si pone la figura del Data Protection Officer, vera e propria anima del sistema privacy aziendale.

Si tratta di una figura che svolge un ruolo centrale per importanza, ma trasversale per ambiti di operatività. È infatti il soggetto cui è attribuito il compito di informare e fornire consulenza in merito agli obblighi derivanti dalla normativa in materia di dati personali.

Dipendono, quindi, dalle sue analisi le scelte di ogni società, in qualsiasi area: dalle campagne di marketing, allo sviluppo di nuovi servizi, passando per la scelta di fornitori fino ad arrivare, ad esempio, alla scelta degli strumenti da fornire ai lavoratori.

L’altro compito fondamentale attribuito dalla nuova normativa al DPO, è quello di verificare il rispetto di quanto stabilito dalla normativa vigente, controllando la corretta attribuzione di responsabilità all’interno di ogni ente e svolgendo attività di sensibilizzazione e formazione del personale che partecipa ai trattamenti di dati. Vengono quindi demandate alla sua figura quelle attività che garantiscono, tramite accertamenti regolari, la conformità normativa delle attività societarie, imprescindibili al fine di minimizzare il rischio di sanzioni da parte dell’Autorità (che adesso, in determinati casi, possono arrivare fino a 20 milioni di Euro o addirittura al 4% del fatturato globale dell’impresa).

La scelta di questa figura è quindi di primaria importanza. Non a caso la normativa prevede determinati requisiti minimi che il soggetto designato DPO deve possedere, soprattutto sotto il profilo della sua competenza.

Ciò non stupisce.

Come sarebbe possibile attribuire una funzione tanto delicata ad un soggetto che non abbia le conoscenze adeguate per svolgere queste mansioni? Ecco che quindi il GDPR richiede espressamente al DPO un’approfondita conoscenza (dimostrabile) della normativa e della prassi in materia di diritto alla protezione dei dati personali, oltre che del settore dove opera l’ente che lo ha designato.
E, si badi bene, non è un obbligo fine a sé stesso o ingiustificatamente eccessivo: il DPO è il centro nevralgico del sistema di gestione privacy previsto dal “GDPR”. La sua incompetenza comporta, nel breve periodo, l’esposizione dell’azienda a sanzioni da parte delle Autorità di Controllo, e nel lungo, una perdita di competitività a favore delle sue concorrenti in grado di dimostrare il rispetto dei requisiti normativi.

 

Andrea Palumbo
Avvocato