Scopri i Master e Corsi che potrebbero Interessarti
Data Protection Officer: chi è, che lavoro fa, quali compiti ha, quando è obbligatorio
Una figura dalla grande importanza in diverse tipologie di azienda è senza dubbio quella del Data Protection Officer. Si tratta di un professionista che ha un ruolo particolarmente rilevante nel trattamento dei dati personali degli utenti, obbligatorio in alcuni casi previsti dalla normativa, e che prevede alcuni compiti che contraddistinguono il suo lavoro quotidiano.
Data Protection Officer, voce ai professionisti: intervista al dottor Stefano Pastore
Per approfondire la figura del Data Protection Officer, Alma Laboris ha intervistato il dottor Stefano Pastore, che ricopre la figura di Legal Consultant presso l’azienda Reggiani Consulting di Bolzano. Nella sua attività quotidiana svolge il lavoro di Legal Specialist, Privacy Consultant e, appunto, Data Protection Officer. Professionista nel settore in cui opera, il dottor Pastore ha frequentato la Business School in occasione del Master in Giuristi d’Impresa nel 2017.
DOMANDA: Una breve presentazione di lei e del suo ruolo nell’azienda presso cui lavora.
Occorre fare una breve precisazione. Io opero come consulente presso un'azienda che offre servizi connessi agli adempimenti richiesti dal Regolamento (UE) 679/2016 in materia di trattamento dei dati personali. Tra questi servizi, è compresa la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei dati (RPD). Pertanto, nei casi in cui una struttura decida di affidarci l'incarico di DPO, designa l'azienda presso la quale lavoro e indica uno dei consulenti quale referente interno nell'atto di designazione da inviare all'Autorità Garante per la Protezione dei dati. In altri termini, il mio ruolo è quello configurato dall'art. 37, paragrafo 6, ossia quello di un soggetto esterno che svolge il ruolo di DPO in virtù di un contratto di servizi.
Chi è il Data Protection Officer, e quando è obbligatorio per le aziende?
DOMANDA: Considerata la sommaria conoscenza generale su questo lavoro, può specificarci per quali aziende è obbligatorio avere un Data Protection Officer? Cosa prevede la normativa?
L'art. 37 del GDPR stabilisce che i titolari o responsabili del trattamento devono designare un DPO ogniqualvolta:
- a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, quindi tutte le pubbliche amministrazioni;
- b) le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- c) le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
Al di fuori dai suindicati casi, la designazione del DPO è facoltativa. I punti più problematici da valutare sono quelli individuati dai punti b) e c), che riguardano gli enti privati, in quanto è molto complesso dare una definizione di "monitoraggio sistematico su larga scala". Nel valutare se un trattamento dei dati personali è effettuato su larga scala, ad esempio, occorre tenere conto dell'ambito territoriale in cui opera il titolare o il responsabile del trattamento e del numero di soggetti coinvolti in quel territorio, dopodiché occorre verificare se quel trattamento comporta il monitoraggio sistematico degli interessati, come ad esempio l'attività di marketing profilato.
L'Autorità Garante per la protezione dei dati ha fornito un elenco esemplificativo, e non esaustivo, dei soggetti privati tenuti a designare un DPO, ma tale elenco non comprende tutte le tipologie di strutture che operano nel mercato. Pertanto, per quest'ultime, occorre valutare accuratamente se rientrano nei casi di cui alle lettere b) e c) dell'art. 37, paragrafo 1 del GDPR. Infatti, per tutte le strutture che non sono pubbliche amministrazioni o che non rientrano nell'elenco fornito dall'Autorità Garante, il mio ruolo è, prima di tutto, quello di esaminare la loro realtà, individuare le attività di trattamento effettuate e valutare se siano soggette all'obbligo di designare un DPO.
Quali sono i compiti di un Data Protection Officer?
DOMANDA: Ci definisca la sua professione di Data Protection Officer: quali sono i compiti che affronta nella sua quotidianità lavorativa?
Io svolgo attività da DPO sia nei confronti di enti pubblici, che di privati e le esigenze per ognuna di esse sono differenti. Di base, il mio ruolo è di fornire consulenza a 360° con riferimento agli adempimenti previsti dal regolamento, interfacciandomi sia con le figure apicali delle strutture, che con i loro collaboratori.
Tale consulenza può avvenire attraverso richieste spot da parte dei collaboratori delle strutture che seguo, ad esempio per rispondere a questioni e dubbi che possono sorgere nello svolgimento dell'attività lavorativa quotidiana, oppure partecipando alle riunioni di carattere generale, ad esempio i Consigli di Amministrazione, il cui ordine del giorno è, ad esempio, il lancio di una nuova attività della struttura, fornendo il mio parere sugli aspetti relativi all'attività di trattamento dati connessi a tale attività.
In entrambi i casi, la consulenza fornita comporta un'attività di ricerca, di studio della normativa - non solo della materia privacy, ma anche delle altre disposizioni di legge che disciplinano una specifica materia - e della sua applicazione nel caso concreto.
Un altro aspetto importante del mio ruolo da DPO sono le attività di audit presso le strutture che seguo, ossia attività di controllo che possono variare di volta in volta, a seconda della tipologia di ente e delle loro necessità. Gli audit possono riguardare, a titolo esemplificativo:
- la valutazione dell'adeguatezza delle misure di sicurezza, tecniche e organizzative, adottate dalla struttura in relazione al trattamento dei dati personali;
- il controllo della formalizzazione degli incarichi ai fornitori esterni (nomine a responsabili e/o a sub-responsabili del trattamento) e la verifica dei contenuti della designazione;
- la verifica della presenza delle istruzioni al trattamento dei dati e verificare che siano state fornite ai collaboratori;
- in generale, controllare la presenza e l'adeguatezza delle informative, laddove siano necessarie.
Lo scopo degli audit è quello di individuare eventuali punti di criticità che possono comportare dei rischi relativi all'attività di trattamento dei dati personali e stabilire, insieme all'ente, il metodo migliore per porvi rimedio o quanto mento per abbassare i rischi.
Inoltre, effettuo attività di formazione per i collaboratori, le quali possono variare a seconda delle esigenze. Possono essere formazioni di carattere generale sul trattamento dei dati personali, con contenuti basilari, utili a qualunque tipologia di struttura e rivolte a tutti i collaboratori le cui mansioni lavorative comportano il trattamento dei dati personali, oppure formazioni su specifiche tematiche per coloro preposti a determinate attività, come ad esempio il marketing.
Oltre alle summenzionate attività che, nel quotidiano, contraddistinguono la mia attività da DPO, talvolta sono chiamato ad assistere le strutture che seguo per gestire situazioni che possono sorgere nel corso delle attività di trattamento, come ad esempio:
- rispondere alle richieste degli interessati nell'esercizio dei diritti a loro spettanti di cui agli artt. 15 e ss.;
- gestire eventuali incidenti di sicurezza, valutare se questi hanno comportato una violazione sul trattamento dei dati personali, c.d. data breach, e, in tal caso, assistere la struttura negli adempimenti di cui agli articoli 33 (notifica all'Autorità di controllo) e 34 (comunicazione agli interessati) del GDPR;
- fornire un parere sulla valutazione di impatto (DIPA) svolta su un'attività di trattamento;
- confrontarsi con i DPO di altre strutture per la gestione di problematiche comuni, di cui le strutture che seguo sono direttamente o indirettamente interessate.
Data Protection Officer master: l’importanza di un’adeguata formazione
DOMANDA: Sono trascorsi svariati anni dalla scelta del Master con Alma Laboris. Che peso ha avuto nel raggiungimento dei suoi obiettivi professionali? Le conoscenze e competenze acquisite sono utili per la sua professionalità quotidiana?
Il Master svolto presso Alma Laboris mi ha permesso di affacciarmi nel mondo del Giurista d'Impresa, la cui figura tutt'ora rimane sconosciuta a molti studenti che si apprestano ad iniziare il loro percorso di studi presso le Facoltà di Giurisprudenza, convinti che l'unico sbocco lavorativo connesso a tale percorso sia quello di iniziare la carriera da avvocato.
Grazie all'offerta formativa del Master ho potuto conoscere i diversi ambiti in cui opera un addetto all'area legale di un'azienda. Non solo la parte relativa alla compliance e internal auditing, come la Privacy o il D.lgs. 231/2001 che disciplina la responsabilità amministrativa degli enti, ma anche la contrattualistica o la gestione del rapporto di lavoro. Quanto appreso durante il Master mi è stato utile per capire quale fosse la strada che meglio si adatta alle mie caratteristiche professionali e personali, ossia la compliance e internal auditing.
DOMANDA: Quali sono i suoi progetti futuri e i suoi obiettivi?
Per il futuro, la mia volontà è quella di continuare il percorso intrapreso attraverso l'attività di DPO, accrescendo le mie competenze e conoscenze sulla materia del trattamento dei dati personali, anche e soprattutto in vista dell'esponenziale crescita tecnologica che stiamo vivendo, la quale comporterà sempre più la necessità di tutelare i nostri dati personali. Infine, tra i miei progetti, vi è anche la volontà di crescere e approfondire le mie competenze anche in ambito D.lgs. 231/2001.
Scopri i Master e Corsi che potrebbero Interessarti
by
Redazione Business School
