Il DPO, Data Protection Officer è la figura che è stata introdotta dal GDPR con la funzione di affiancare titolare, addetti e responsabili del trattamento perché gestiscano i rischi e conservino i dati seguendo le direttive del Regolamento europeo.
Il DPO non è altro che un consulente in materia sia tecnica che legale che ha potere esecutivo. Il suo doppio ruolo si divide tra sorveglianza e consulenza e funge da tramite fra l’azienda che lo incarica e l’autorità.
I suoi compiti sono specificati nel GDPR, all’articolo 39, e sono:
- informare
- sorvegliare
- cooperare
Il suo compito è prima di tutto quello di informare il titolare del trattamento e gli addetti su come: raccogliere, trattare e conservare i dati personali in modo conforme al GDPR.
Il DPO è quindi una sorta di consigliere, un professionista che ha il compiti di mettere al sicuro l’azienda, informandola dei rischi che può correre in merito a sanzioni e attività del Garante.
Diventare DPO: talvolta un compito “ingrato”
Il secondo compito del DPO è la sorveglianza. Il GDPR dice che il DPO deve mettere in atto tutta una serie di attività di controllo su addetti e responsabili.
Un compito ingrato perché talvolta le aziende seguono processi che ritengono possano essere in linea con le direttive del GDPR e invece non sempre è così.
Questa è la ragione per la quale il suo compito qualche volta può diventare addirittura “fastidioso” per le aziende. Perché se il DPO trova qualcosa che non va, ha l’obbligo di segnalarlo.
Cos’è il rapporto di sorveglianza redatto dal DPO?
Il rapporto di sorveglianza che redige il DPO è un documento obbligatorio per legge che deve essere compilato almeno una volta l’anno e che elenca quelle che sono le misure utili a proteggere i dati. Indica se i dati sono conformi e inoltra consiglia le azioni per la compliance al GDPR.
Inoltre, se si concorda con il titolare, il DPO può offrire all’azienda anche un parere sulla valutazione d’impatto della protezione dei dati e sorvegliarne lo svolgimento. La Data Privacy Impact Assessment è una valutazione obbligatoria se un trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone interessate. L’esempio tipico è dato dalla presenza dei sistemi di sorveglianza.
Il DPO consiglia, il titolare del trattamento decide
La responsabilità del DPO ha però dei limiti. Lui informa, consiglia, supervisiona e valida come l’organizzazione tratta i dati ma poi spetta al titolare la decisione sulle misure che andranno adottate.
Nel caso ad esempio in cui il titolare riceve una segnalazione di una possibile violazione non è il DPO che decide come agire. Ma è il titolare dell’azienda.
Il DPO coopera, connettendo autorità e titolare trattamento
L’ultimo ruolo del DPO è quello di cooperazione.
Il Data Protection Officer rappresenta infatti il punto di connessione tra l’autorità di controllo ed il titolare del trattamento. E’ una figura quindi che opera a stretto contatto con l’autorità per tutto ciò ce concerne il trattamento dei dati personali e che assolve a diversi compiti.
Un ambito di lavoro ampio, che richiede quindi molteplici competenze, anche trasversali.
La tua azienda ha un DPO?
Scopri se hai necessità anche tu di adeguarti al GDPR e metti al sicuro la tua azienda!