Il 25 maggio, entrerà in vigore il nuovo Regolamento Ue 2016/679 sulla privacy, il Gdpr (General Data Protection Regulation), dove oltre alle tantissime implicazioni che la normativa porterà, vi sarà anche una figura professionale incaricata a gestire questa problematica, il DPO.
Il DPO, il Data Protection Officer, è il responsabile della protezione dei dati, e l’art. 37 del Gdpr lo prevede obbligatorio per:
- Istituti di credito;
- Imprese assicurative;
- Sistemi di informazione creditizia;
- Società finanziarie;
- Società di informazioni commerciali;
- Società di revisione contabile;
- Società di recupero crediti;
- Istituti di vigilanza;
- Partiti e movimenti politici;
- Sindacati;
- Caf e patronati;
- Società che operano nel settore “utilities” (telecomunicazioni, distribuzioni di energia elettrica o gas);
- Imprese di somministrazione di lavoro e ricerca del personale;
- Società operanti nel settore della cura e della salute;
- Call center
Mentre non è obbligatoria per:
- Liberi professionisti operanti in forma individuale;
- Agenti, rappresentanti e mediatori operanti non su larga scala;
- Imprese individuale o familiari;
- Piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione dei rapporti con fornitori e dipendenti.
Il DPO deve assolvere a diverse funzioni e responsabilità, in quanto sarà il punto di riferimento in azienda per tutte le questioni che riguardano la sicurezza dei dati personali. Entrando nello specifico delle sue funzioni il DPO deve essere in grado di fornire consulenza al management aziendale per quanto riguardano le prescrizioni della legge, controllandone la corretta applicazione.
Ecco perché il DPO deve essere in possesso di un’approfondita conoscenza della normativa e della prassi in materia di privacy, delle procedure amministrative, operare in maniera indipendente e autonoma.
Per evitare i rischi di conflitto d’interesse è preferibile non affidare l’incarico a chi si trova ai vertici aziendali (amministratore delegato, membri del consiglio di amministrazione, direttore generale).
La scelta del DPO deve avvenire solo in base all’effettivo possesso di competenze richieste dal Regolamento della Commissione Europea; per ricoprire l’incarico non sono richiesti requisiti formali, cioè attestazioni o l’iscrizione in appositi albi.
In conclusione il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento, deve possedere un’adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, deve svolgere le proprie funzioni in piena autonomia ed indipendenza, in assenza di conflitti d’interesse.
