mercoledì 2 maggio 2018

UN MINUTO DI PRIVACY - D.P.O. chi è costui?

Il GDPR (art. 37) ha introdotto in Italia per la prima volta la figura del D.P.O. (Data Protection Officer), italianizzato in R.P.D. (Responsabile della protezione dati).  

Di questa nuova figura professionale si è sentito parlare molto in questi ultimi mesi.  

Ma chi è e cosa fa il D.P.O.?

Si tratta di un soggetto nominato dal Titolare e dal Responsabile di un trattamento, che si caratterizza per il possesso di ampie e svariate competenze professionali (legali, informatiche, di gestione del rischio, di organizzazione aziendale e di audit) e comprovata esperienza nel settore della privacy, oltre che di specifica conoscenza della realtà aziendale in cui è chiamato a svolgere il proprio compito.

Al D.P.O. è affidata la verifica del rispetto della normativa privacy da parte dell’azienda, ma - si badi bene - non risponde personalmente delle eventuali violazioni da parte del Titolare, che resta l'unico responsabile

Deve necessariamente trattarsi di una persona fisica, interna o esterna all’azienda: anche un dipendente del Titolare del trattamento, infatti, può essere nominato D.P.O., ma essendo chiamato a ricoprire una funzione quasi pubblicistica, in quanto chiamato a interagire direttamente con le Autorità, è necessario che ne venga garantita l’autonomia e l'indipendenza.

Avendo il compito di fornire al Titolare del trattamento consulenza in materia di privacy, l’opinione del D.P.O. dovrà essere preventivamente richiesta prima di intraprendere un qualsiasi progetto che possa riguardare il trattamento dei dati.

Entro il 25 maggio 2018 hanno l’obbligo di nominare un D.P.O. i seguenti soggetti:

- le autorità e gli organismi pubblici o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

- le aziende che si occupano, su larga scala, del monitoraggio sistematico degli interessati;

- le aziende che trattano su larga scala, in via congiunta o disgiunta, dati sensibili, dati biometrici o giudiziari.

Preme segnalare che, nonostante il proliferare di corsi di formazione, al momento non esiste una certificazione (né tantomeno un albo) che sia in grado di garantire la specializzazione degli esperti scelti per ricoprire tale carica.