Responsabile della protezione dei dati. Consulente, esperto e qualificato, che affianca il titolare del trattamento nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente.
Il DPO è una figura nuova della Privacy che non era contemplata nel Decreto Legislativo procedente “Codice privacy”. Ma quali sono veramente i suoi compiti? Qual è il motivo per il quale, in determinate circostanze, risulta obbligatorio nominarlo?
La figura del DPO è una risposta ai rischi privacy che emergono da due fattori: la continuativa informatizzazione dei processi di lavoro (sia in ambito pubblico che in ambito privato) e la globalizzazione per la quale i dati personali viaggiano da un continente all’altro.
I due fattori, a seconda della modalità con cui si manifestano in un’azienda pubblica o privata, generano dei rischi più o meno gravi. I rischi di cui stiamo parlando, quelli che dobbiamo tener ben presenti anche e soprattutto nella Valutazione di impatto prevista all’art.35, non sono i rischi relativi al dato personale in sé, ma sono rischi che riguardano la persona (interessato), la sua vita, la sua sicurezza e la sua incolumità.
Il responsabile per la protezione dei dati e chi lo nomina (aziende, enti, istituzioni) devono partire dalla consapevolezza che la protezione del dato personale è funzionale alla protezione della persona fisica a cui esso si riferisce.
Il DPO deve tenere sotto controllo tutti i flussi di dati personali (nell’azienda o nell’ente) dove avvengono i trattamenti che devono rispettare la normativa europea.
L’attività del DPO è complessa ancorché le finalità convergono nella protezione della persona attraverso la protezione dei suoi dati personali. Le competenze necessarie al DPO al momento sembrano essere quattro:
- Informatica
- Diritto
- Risk management
- Analisi di processi
Molto spesso ci si chiede se il DPO debbe essere una figura interna o esterna all’organizzazione che tratta i dati ma tale problema è inesistente, o meglio, non esistono indicazioni “privacy” che permettono di scegliere l’opzione migliore. La valutazione infatti è solamente di tipo economico e cioè: è più conveniente affidare quest’attività di protezione dei dati ad un lavoratore già interno all’azienda oppure è più conveniente pagare un canone di consulenza ad un professionista esterno?
Altro dubbio ampiamente discusso e assolutamente giustificabile di fronte ad una figura del tutto nuova in Italia è quello relativo a chi deve nominarlo.
Gli artt.37,38 e 39 del GDPR stabiliscono le condizioni che rendono obbligatoria la nomina del DPO ma forse è meglio esporle in maniera più chiara rispetto a come di solito sono illustrate.
L’attenzione, inizialmente, non deve essere riposta ai trattamenti bensì all’attività principale che l’ente o l’azienda svolge. Se l’attività principale riguarda il trattamento di dati su larga scala allora sì che dobbiamo chiederci:
- Tale attività di trattamento di dati su larga scala riguarda il monitoraggio sistematico delle persone? Se si dobbiamo nominare il DPO
- Tale attività di trattamento di dati su larga scala riguarda dati personali particolari (ex dati sensibili) Se si dobbiamo nominare il DPO
L’attenzione deve essere focalizzata su due concetti fondamentali che sono:
- l’attività principale dell’ente o dell’azienda
- la presenza di trattamenti su larga scala
