Avete mai sentito parlare del Data Protection Officer, meglio conosciuto anche con l’acronimo DPO? Ecco che cos’è nello specifico, di cosa si occupa e quali sono i suoi compiti.
Il Data Protection Officer (DPO) o Responsabile per la Protezione dei Dati (RPD), è un professionista che per ricoprire questa carica deve possedere delle ottime competenze e conoscenze di tipo giuridico, informatico, relative al risk management e infine di analisi dei processi.
Tale figura deve avere un ruolo aziendale, che può essere sia esterno che interno e nonostante sia già presente in numerose legislazioni europee già da molto tempo, è stata introdotta ufficialmente soltanto nel 2016 con il Regolamento generale sulla protezione dei dati 2016/679, ossia con il testo normativo più importante a livello europeo nell’ambito della tutela della privacy.
Di cosa si occupa e cosa fa il Data Protection Officer?
Il principale compito che il Data Protection Officer ha in un’azienda, è quello di occuparsi della gestione del trattamento dei dati personali e della loro protezione, a tal proposito deve sempre accertarsi che i dati aziendali siano trattati nel rispetto delle normative vigenti sia a livello europeo che a livello nazionale.
Gli altri compiti che il Data Protection Officer deve svolgere sono contenuti all’interno dell’articolo 39 del Regolamento europeo sulla protezione dei dati personali, eccoli in sintesi:
- Il DPO deve informare e fornire consigli al titolare dell’azienda ed eventualmente anche ai dipendenti, in merito agli obblighi previsti dalle norme in materia di trattamento dei dati;
- Il DPO deve accertarsi che tali norme trovino applicazione e vengano effettivamente attuate;
- Il DPO deve cooperare con il titolare e quando richiesto deve fornire delle consulenze in merito alla valutazione d’impatto sulla protezione dei dati;
- Il DPO deve inoltre collaborare con le autorità di controllo.
C’è da precisare però che a differenza di quanto si possa ingenuamente pensare, il DPO non è personalmente responsabile nei confronti di soggetti terzi in caso di inosservanza degli obblighi in materia di trattamento dei dati personali.
Il titolare a cui il DPO presta consulenza e assistenza, è di fatto l’unico soggetto realmente responsabile per quanto concerne il rispetto della normativa nei confronti di terzi.
Quando è obbligatorio nominare un Data Protection Officer?
Sempre secondo quanto stabilito all’interno del Regolamento Europeo sulla protezione dei dati personali, la designazione di un Data Protection Officer è da considerarsi obbligatoria soltanto in tre specifici casi, ecco quali:
- Amministrazioni ed enti pubblici, inclusi gli organismi privati che svolgono pubbliche funzioni o che esercitano pubblici poteri, devono obbligatoriamente nominare un DPO;
- Attività che si occupano di trattamento di dati, che per loro natura necessitano di un regolare e costante monitoraggio dei soggetti interessati dal trattamento su larga scala;
- Attività che si occupano di trattare su larga scala dati sensibili, relativi all’ambito della salute, giudiziario, della vita sessuale e genetico.
Quali sono i rischi per chi non rispetta l’obbligatorietà della nomina del DPO?
La mancata nomina del Data Protection Officer nei tre casi precedentemente indicati e dunque la trasgressione di tale norma, può essere punita con una sanzione amministrativa che può arrivare fino a 10milioni di euro o in alternativa può essere pari al 2% del fatturato annuo.
