Il Data Protection Officier è una figura professionale che ha il compito di gestire il trattamento dei dati personali all’interno di un’azienda, per assicurarsi che questi vengano conservati nel rispetto delle leggi sulla privacy sia europee che nazionali.
In italiano il nome corretto sarebbe RPD, ossia “Responsabile della Protezione Dati”, ma tali professionisti sono solitamente chiamati DPO anche qui in Italia.
In realtà, questa figura professionale è conosciuta con nomi diversi anche nel mondo anglosassone, può infatti chiamarsi: Chief Privacy Officer (CPO), Privacy Officer, Data Protection Officer o Data Security Officer.
Il Data Protection Officier ha quindi delle competenze principalmente informatiche, ma anche giuridiche, di analisi dei processi e di risk management.
Questa figura affianca solitamente i titolari e i responsabili informatici di un’azienda (sia pubblica che privata) per osservare come questi ultimi si approcciano al trattamento dei dati e per consigliare il modo migliore di procedere.
Quali sono i compiti del DPO
I compiti del DPO sono ben definiti dal GPDR (ossia il Regolamento generale sulla protezione dati), un regolamento UE entrato in vigore nel 2016 e pubblicato sulla Gazzetta dell’Unione europea.
Prima di tutto, il DPO deve informare, e quindi offrire consulenza tecnica e legale, a tutti i responsabili del trattamento dati dell’azienda in cui lavora.
Deve spiegare ogni articolo del regolamento cercando di farne comprendere tutti gli aspetti (responsabilità, violazione dei dati, privacy).
In base al contesto in cui si trova la sua spiegazione dovrà essere più o meno specifica.
Se, ad esempio, è stato assunto da un comune di una piccola città, egli dovrà prima di tutto esporre questi concetti in modo semplice, cominciando con la definizione dell’espressione “Dati personali”.
In seguito il DPO deve aiutare il titolare dell’azienda a redigere il registro delle attività di trattamento, ossia il documento dove vengono registrate tutte le operazioni effettuate nell’ambito del trattamento dei dati.
Il DPO, inoltre, individua che tipo di dati vengono trattati nella sua azienda e il modo in cui vengono protetti, così da calcolare il rischio che corrono.
Il suo obiettivo è quello di tenere il rischio di violazione sempre al minimo, per cui, se nota che i dati sono troppo esposti, deve valutare un approccio diverso, ad esempio potrebbe essere necessario cambiare gestionale o sistema di back-up.
Infine, il DPO è incaricato della sorveglianza, per cui osserva il lavoro dei responsabili dei dati, li affianca nei processi di protezione e se nota degli errori è tenuto a segnalarli.
Sempre nell’ambito della sorveglianza, il DPO, una volta l’anno, redige un rapporto di sorveglianza, ossia un documento obbligatorio in cui vengono elencate le misure adottate dall’azienda per proteggere i dati indicando anche se sono conformi al regolamento.
Le responsabilità del DPO hanno tuttavia dei limiti.
Ad esempio, in caso di segnalazione di una possibile violazione di privacy, il DPO può suggerire le misure da adottare, ma la decisione finale spetta al titolare dell’azienda.
Sarà lui a decidere se comunicare la violazione o meno e le eventuali contromisure da mettere in atto.