“Devi lottare per la tua privacy o la perdi”. (Eric Schmidt)
Si sa, le sigle sono sempre molto utilizzate, semplificano e abbreviano sia il linguaggio che la scrittura, l’importante è che il significato venga unanimemente riconosciuto.
In questo caso stiamo parlando del DPO, Data Protection Officer o, nella versione italiana, Responsabile della protezione dei dati personali.
Figura recentemente entrata in auge con l’approvazione europea del Regolamento GDPR n.679/2016, del regolamento per la tutela dei dati, poi recepito anche in Italia.
Non tutte le aziende lo devono necessariamente nominare, anche se il garante della privacy italiano ritiene la nomina comunque “opportuna”, anche tenuto con che in caso di controlli, l’azienda dovrà dimostrare perché non lo ha nominato.
Quando è obbligatorio il DPO?
Sempre, quando stiamo parlano di soggetti pubblici o para-pubblici, o quando si tratta di aziende private in presenza di trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in presenza di trattamenti su larga scala di dati relativi a salute, reati, condanne penali.
Terreno scivoloso quello del “trattamento su larga scala”, non esiste un parametro specifico; vanno infatti valutati diversi fattori, il volume dei dati trattati, il numero di soggetti interessati (anche in percentuale), la durata del trattamento, la portata geografica…
Se dobbiamo o decidiamo di nominarlo, quali requisiti deve avere il DPO?
Va nominato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi e della capacità di assolvere i compiti delegati.
Può quindi essere tanto un soggetto esterno che un soggetto interno, ma è necessario garantirne l’autonomia ed indipendenza evitando conflitti di interessi, ergo è meglio che sia sempre una figura esterna.
Attenzione inoltre, il DPO non tutela gli interessi dell’azienda, cioè del titolare dei dati, ma il suo ruolo è quello di tutelare i dati personali.
Per la cronaca, può essere nominato come DPO anche una società, cioè una figura giuridica, e non necessariamente una persona fisica.
L’argomento è stato qui trattato volutamente in modo sintetico e semplificato ad uso esclusivo dei clienti dello studio, di conseguenza, non costituisce un parere giuridico né può in alcun modo considerarsi come sostitutivo di una consulenza specifica.