GDPR e il DPO (Data Protection Officer)

Il GDPR e il DPO

La figura professionale del Data Protection Officer è di vitale importanza per una corretta gestione delle norme concernenti il GDPR 


Abbiamo spesso parlato a riguardo del nuovo Regolamento Europeo sulla protezione dei dati (679/2016).
il GDPR immette, dunque, una legislazione unica valida e da applicare in tuti gli Stati facenti parte dell’Unione.
Dallo scorso maggio, in Italia, il Regolamento ha preso il posto del vecchio Codice in materia di Privacy (Decreto Legislativo 196/2003).

Come ben si sa, sono state introdotte tante novità. Oggi osserveremo le novità concernenti gli articoli 35,36 e 37. In questi articoli il legislatore si è occupato della figura del DPO (Data Protection Officer), che dovrà obbligatoriamente essere istruito in attesa di una designazione.

Come diventare DPO

La figura professionale del Data Protection Officer sarà in grado di svolgere mansioni legate, su vasta scala, al trattamento dei Dati Personali; dovrà avere una grande conoscenza di base sulle normative, dei sistemi informatici e di tutto ciò che riguarda il campo della “sicurezza”.
Potranno ricoprire tale ruolo: Funzionari e dirigenti che hanno il ruolo di Responsabili della Privacy, chi ha già svolto le mansioni di Data Protection Officers, Responsabili IT, Security Managers, Compliance Officers, Segretari comunali e Liberi professionisti.

Gli sbocchi lavorativi

Il DPO dovrà essere in grado di avere una conoscenza di base su tecniche e strumenti per esercitare al meglio la propria funzione.
Necessario, anche, conoscere i fondamentali del GDPR e saper svolgere mansioni, come quelle previste dall’Articolo 39 del nuovo Regolamento UE.
Gli sbocchi lavorativi prevedono ruoli sia all’interno, che al di fuori, di Enti Pubblici o privati.

Entriamo nello specifico nei compiti affidati al DPO

Complessi e richiedono parecchie conoscenze di base, così sono i compiti del Data Protection Officer.
Nello specifico, tale figura, dovrà:

1) Rispettare e attuare nel miglior modo possibile il regolamento, badando anche alle altre disposizioni europee o di diritto interno in materia di protezione dati;

2) Saper informare e dare consulenza a ai titolari e ai responsabili del trattamento, ma anche a dipendenti (che avranno compiti derivati dal regolamento);

3) Sorvegliare su chi abbia o meno delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;

4) Dovrà saper fornire un punto di contatto e lavorare a stretto contatto con l’Autorità Garante per la protezione dei dati personali;

5) Sarà libero di dare considerazioni e consigli, sorvegliando anche sulla redazione della Data protection impact assessment (c.d. Dpia);

6) Egli sarà a capo della gestione di inventari e registri dei trattamenti e delle attività di trattamento ex art. 30. Per quanto rimanga sempre un lavoro a discrezione del titolare e del responsabile, potrà coadiuvare nella gestione e nella conversazione del refistro delle attività di trattamento: ex art. 30 del regolamento europeo.
Sta di fatto che comunque, tali mansioni, fanno parte da quasi quindici anni del ruolo di Data Protection Officer interni alle istituzioni dell’Unione europea (regolamento 2001/45/Ce)

7) Infine, egli deve assicurare che eventuali violazioni, legate alla circolazione dei dati personali, vengano accertate e documentate, poi notificate e comunicate (c.d. Data Breach Notification Management).

Cristiano de Stefano