DPO – Data Protection Officer

Parliamo nuovamente di privacy e dati personali: Vi vogliamo presentare una figura professionale poco nota e pubblicizzata, ma ormai fondamentale nell’organizzazione di molte aziende, ed in particolare delle realtà medio-grandi: il DPO (Data Protection Officer).

Il DPO (o “Responsabile della protezione dei dati”) è una figura introdotta nel nostro ordinamento dall’art. 37 del Regolamento Europeo 679/2016 (GDPR), secondo cui il Titolare o il Responsabile del trattamento (l’azienda) deve obbligatoriamente designare un DPO quando:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (è il caso, ad esempio, anche delle società a partecipazione pubblica);
  2. l’attività principale del titolare o responsabile richiede il monitoraggio regolare e sistematico degli interessati su larga scala (pensiamo, tra gli altri, a società che si occupano di vigilanza, di indagini statistiche o di servizi assicurativi e finanziari);
  3. le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali (gli ex c.d. dati sensibili); si pensi a cliniche, centri medici di rilevanti dimensioni, case di riposo, ecc.

In caso di mancata nomina del DPO, il trasgressore rischia di incorrere in pesantissime sanzioni.

Va da sé che, anche se non gli è imposto dalla normativa, il Titolare del trattamento che ritiene di svolgere particolari trattamenti di dati personali (dei suoi clienti, dei dipendenti, di terzi) può -e dovrebbe- valutare la nomina di un DPO.

Ma quali sono i compiti di un DPO?

Come può essere utile all’azienda per assicurare la piena conformità alla disciplina in materia di trattamento dei dati personali (c.d. compliance)?

Orbene, l’art. 39 GDPR elenca una serie di attività minime che devono essere demandate al DPO, tra cui:

  1. svolgere una valutazione dei rischi del trattamento di dati personali svolto dall’azienda e valutarne le necessità;
  2. informare e fornire consulenza al titolare o al responsabile del trattamento (e ai loro dipendenti) in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati;
  3. sorvegliare l’osservanza della normativa privacy, ivi compresi i regolamenti aziendali interni (partendo, ad esempio, dalla formazione e sensibilizzazione del personale);
  4. cooperare con l’autorità di controllo (Garante della Protezione dei Dati Personali) e fungere da punto di contatto con quest’ultimo.

È quindi evidente l’importanza del DPO nell’organizzazione aziendale: il professionista è in grado di valutare la situazione dell’impresa sotto il profilo della gestione dei dati personali, provvedendo poi a collaborare con l’azienda nell’adeguamento di eventuali carenze e coadiuvandola nella gestione quotidiana della materia privacy.

La società che dovesse rendersi conto di avere necessità di individuare un DPO si troverà poi di fronte ad altre domande: come scegliere un DPO? Quali sono i requisiti?

Secondo l’art. 37 GDPR, il DPO deve essere scelto “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, deve essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali.” e deve essere autonomo nella gestione del suo incarico (art. 39).

Alla luce delle fondamentali e delicate attività demandate al DPO, ed anche dei requisiti che quest’ultimo deve possedere, è quindi chiaro che il professionista deve essere individuato con attenzione al fine di evitare spiacevoli problematiche ed un inutile dispendio economico.

Lo Studio Legale Capello -ed in particolare l’avv. Lorenzo Casavecchia, esperto in materia di trattamento dei dati personali- svolge già proficuamente l’attività di DPO per suoi Clienti di primaria importanza nei relativi settori.

Siamo pertanto pronti a valutare insieme a Voi se la Vs. azienda è obbligata a nominare un DPO o ne avrebbe comunque la necessità, per poi individuare congiuntamente le più opportune modalità di collaborazione.

Lo Studio è a disposizione per fornire la necessaria consulenza e assistenza in materia.