La tutela dei dati personali dei cittadini è una disciplina e un argomento di cui si parla sempre più frequentemente.
Negli ultimi anni sono emerse delle figure professionali dedicate allo scopo, come ad esempio quella del Data Protection Officer. Il suo ruolo è quello di garantire che la sua organizzazione elabori i dati personali del proprio personale, dei clienti, dei fornitori o di qualsiasi altro individuo in conformità con le norme. Ma vediamo ora nel dettaglio chi è, cosa fa, quali compiti ha, se è obbligatorio per le aziende.
Chi è questo professionista: definizione e significato della sigla
Per definizione, il Data Protection Officer è un professionista che si occupa della garanzia che l’azienda, l’ente, l’organizzazione per cui lavora, tratti i dati personali di tutti coloro i quali gravitano attorno ad essa, in conformità totale con la normativa vigente. Il DPO, questa la sigla con cui viene spesso indicato, ha un ruolo di leadership della sicurezza aziendale richiesto dal Regolamento generale sulla protezione dei dati (GDPR).
È proprio il GDPR ad aver inserito questa figura all’interno del vasto quanto complesso panorama della privacy moderna. In determinate condizioni, il GDPR richiede, infatti, alle organizzazioni di nominare un responsabile della protezione dei dati.
Cosa fa il Data Protection Officer: compiti e mansioni
Se lo scopo principale del regolamento generale sulla protezione dei dati è quello di salvaguardare i dati personali su Internet, l’obiettivo del DPO è quello di monitorare la conformità dell’organizzazione per la quale lavorano, dando consigli e linee guida relativi agli obblighi di protezione dei dati, e svolgendo il ruolo di punto di contatto tra gli interessati e l’autorità di controllo.
L’art. 39 del Regolamento individua i compiti del DPO:
- a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.
- b) Sorvegliare l'osservanza del Regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
Il Data Protection Officer è obbligatorio in azienda?
- Ma quando è obbligatorio avere un Data Protection Officer in azienda? Secondo il paragrafo 1 dell’art. 37 del GDPR, sono tre le situazioni nelle quali la designazione del DPO è obbligatoria, e precisamente:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
- quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).