DPO Privacy

Il DPO Privacy (Data Protection Officer) è una figura introdotta dal Regolamento Europeo Privacy.


Cosa vuol dire DPO?

L’acronimo DPO sta per Data Protection Officer. Nella traduzione italiana della norma viene definito Responsabile della Protezione dei dati.

E’ una figura introdotta dl GDPR e il suo compito è quello di affiancare il Titolare o o il Responsabile del trattamento in merito agli obblighi che derivano dal Regolamento Europeo Privacy. E’ una figura di sorveglianza del sistema privacy che, quando necessario, coopera con le autorità di controllo.

Cosa fa il DPO? – leggi il nostro approfondimento


Chi può fare il DPO?

Il DPO può essere una figura interna o esterna all’azienda, l’importante è che presenti i prerequisiti necessari sia dal punto di vista della formazione personale sia dal punto di vista dell’imparzialità e dell’indipendenza nello svolgimento del suo ruolo.

Il DPO Privacy deve essere in grado di interfacciarsi sia con le figure di alta direzione interne all’azienda sia con le autorità in caso di verifiche, controlli o situazioni di incidente (es: Data Breach).

Qualora sia una figura interna all’azienda, deve poter garantire l’assenza di conflitto tra la sua nomina DPO e le altre mansioni lavorative.


Come diventare DPO?

La qualifica DPO si può ottenere attraverso corsi specifici professionalizzanti. Una volta ottenuta la qualifica è possibile essere certificati attraverso un esame aggiuntivo gestito da enti di accreditati.

Oltre alla formazione specifica sul ruolo, è importante avere una formazione generale di ampio respiro che comprenda aspetti legal, aspetti di organizzazione aziendale e aspetti IT (infrastrutture e reti). Il DPO infatti deve essere in grado di effettuare degli AUDIT completi all’interno di una realtà aziendale e deve avere le capacità di analizzare più ambiti sotto il profilo della tutela dati.


Chi è obbligato ad avere il DPO?

L’articolo 37 del GDPR definisce quali realtà sono obbligate e nominare il DPO:

  • (a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali),
  • (b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
  • (c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

Una volta nominato il DPO, deve essere inviata all’autorità Garante Privacy formale comunicazione dell’avvenuta nomina.


Quanto guadagna un DPO?

Il DPO può essere sia una figura interna sia una figura esterna all’azienda. Qualora sia un libero professionista, la sua quotazione non è soggetta a tariffe di settore, ma è lasciata alla libera concorrenza. Qualora al contrario sia una figura interna, normalmente viene qualificato come quadro con riporto diretto alla direzione e il suo stipendio ragiona di conseguenza in base ai CCNL.


Il Garante Privacy e il DPO

Il Garante Privacy punta a responsabilizzare moltissimo la figura del DPO PRIVACY e propone sul proprio sito tutta una serie di contenuti volti a dare indicazioni su come scegliere questa figura e sulle caratteristiche che essa deve avere.

In particolar modo si segnala un’interessante pagina di FAQ in cui è possibile trovare risposta alle più frequenti domande sulla figura del responsabile della protezione dei dati.

L’aspetto su cui vorremmo fermarci è quello della valorizzazione della figura del DPO PRIVACY. Attualmente risulta tra le professioni “non regolamentate” da albi veri e propri, ma molti enti di certificazioni e realtà private, avendone percepito l’importanza, si sono mossi per creare degli schemi di certificazione proprietari per attestare le qualifiche dei professionisti. E’ quindi possibile e consigliabile ricercare consulenti che possano assumere l’incarico dimostrando di aver superato selezioni ed esami qualificanti.

I professionisti di Mondo Privacy delegati ad assumere l’incarico di DPO sono tutti certificati TUV o CSQA.


Gli articoli del GDPR CHE riguardano il dpo

Il regolamento specifica ancora meglio le attività previste per il DPO.

Articolo 39 GDPR

All’ARTICOLO 39 infatti specifica:

  1. informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  2. sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  3. fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.

Articolo 38 GDPR

E all’ARTICOLO 38 definisce la “Posizione del responsabile della protezione dati”:

  1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
  2. Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
  3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento;
  4. Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento;
  5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri;
  6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!