DPO Privacy
Il DPO Privacy (Data Protection Officer) è una figura introdotta dal Regolamento Europeo Privacy.
Cosa vuol dire DPO?
L’acronimo DPO sta per Data Protection Officer. Nella traduzione italiana della norma viene definito Responsabile della Protezione dei dati.
E’ una figura introdotta dl GDPR e il suo compito è quello di affiancare il Titolare o o il Responsabile del trattamento in merito agli obblighi che derivano dal Regolamento Europeo Privacy. E’ una figura di sorveglianza del sistema privacy che, quando necessario, coopera con le autorità di controllo.
Chi può fare il DPO?
Il DPO può essere una figura interna o esterna all’azienda, l’importante è che presenti i prerequisiti necessari sia dal punto di vista della formazione personale sia dal punto di vista dell’imparzialità e dell’indipendenza nello svolgimento del suo ruolo.
Il DPO Privacy deve essere in grado di interfacciarsi sia con le figure di alta direzione interne all’azienda sia con le autorità in caso di verifiche, controlli o situazioni di incidente (es: Data Breach).
Qualora sia una figura interna all’azienda, deve poter garantire l’assenza di conflitto tra la sua nomina DPO e le altre mansioni lavorative.
Come diventare DPO?
La qualifica DPO si può ottenere attraverso corsi specifici professionalizzanti. Una volta ottenuta la qualifica è possibile essere certificati attraverso un esame aggiuntivo gestito da enti di accreditati.
Oltre alla formazione specifica sul ruolo, è importante avere una formazione generale di ampio respiro che comprenda aspetti legal, aspetti di organizzazione aziendale e aspetti IT (infrastrutture e reti). Il DPO infatti deve essere in grado di effettuare degli AUDIT completi all’interno di una realtà aziendale e deve avere le capacità di analizzare più ambiti sotto il profilo della tutela dati.
Chi è obbligato ad avere il DPO?
L’articolo 37 del GDPR definisce quali realtà sono obbligate e nominare il DPO:
- (a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali),
- (b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
- (c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).
Una volta nominato il DPO, deve essere inviata all’autorità Garante Privacy formale comunicazione dell’avvenuta nomina.
Quanto guadagna un DPO?
Il DPO può essere sia una figura interna sia una figura esterna all’azienda. Qualora sia un libero professionista, la sua quotazione non è soggetta a tariffe di settore, ma è lasciata alla libera concorrenza. Qualora al contrario sia una figura interna, normalmente viene qualificato come quadro con riporto diretto alla direzione e il suo stipendio ragiona di conseguenza in base ai CCNL.
Il Garante Privacy e il DPO
Il Garante Privacy punta a responsabilizzare moltissimo la figura del DPO PRIVACY e propone sul proprio sito tutta una serie di contenuti volti a dare indicazioni su come scegliere questa figura e sulle caratteristiche che essa deve avere.
In particolar modo si segnala un’interessante pagina di FAQ in cui è possibile trovare risposta alle più frequenti domande sulla figura del responsabile della protezione dei dati.
L’aspetto su cui vorremmo fermarci è quello della valorizzazione della figura del DPO PRIVACY. Attualmente risulta tra le professioni “non regolamentate” da albi veri e propri, ma molti enti di certificazioni e realtà private, avendone percepito l’importanza, si sono mossi per creare degli schemi di certificazione proprietari per attestare le qualifiche dei professionisti. E’ quindi possibile e consigliabile ricercare consulenti che possano assumere l’incarico dimostrando di aver superato selezioni ed esami qualificanti.
I professionisti di Mondo Privacy delegati ad assumere l’incarico di DPO sono tutti certificati TUV o CSQA.
Gli articoli del GDPR CHE riguardano il dpo
Il Regolamento europeo privacy specifica ancora meglio le attività previste per il DPO negli articoli 38 e 39.