Oggi, più che mai, con l’avvento dell’Intelligenza Artificiale e delle nuove tecnologie digitali, la tutela della privacy e la gestione dei dati personali sono temi al centro dei dibattiti.
Queste tematiche sono regolamentate a livello europeo con il GDPR (il Regolamento generale sulla protezione dei dati 2016/679) e dalle leggi locali dei paesi membri dell’Unione Europea. Tale regolamentazione richiede un alto livello di consapevolezza e di sicurezza a tutti gli attori economici con degli obblighi sempre più stringenti.
In questo contesto, la figura del Data Protection Officer (o DPO), la nuova figura al centro del GDPR risulta fondamentale.
Questo professionista guida le società titolari e responsabili del trattamento, e vigila sul rispetto delle normative europee e nazionali sulla protezione dei dati. E una presenza fondamentale per le società che operano nei settori a rischio come nei settori tecnologici, la sanità e le relazioni BtoC.
Ma chi è, di preciso, il DPO? Quando è obbligatorio e cosa fa, esattamente?
Questa guida permette di capirne il ruolo ed i benefici per le aziende.
Chi è il data protection officer?
Partiamo, innanzitutto, dal definire la figura di DPO.
Il data protection officer è una figura il cui compito è di supervisionare, valutare e organizzare la sorveglianza del rispetto della normativa per le società che utilizzano dati personali nella loro attività.
In origine, parliamo di una figura che era presente in diverse legislature di Paesi europei – ma non in Italia.
Tutto è cambiato con l’avvento del GDPR che ha reso obbligatoria l’introduzione del DPO in tutte le aziende che possiedono alcune caratteristiche specifiche e che operano sul territorio europeo.
Il DPO è una funzione di nuova generazione che non trova un profilo tipico, deve possiedere un livello discreto di competenze di tipo giuridico, informatico, di risk management e di analisi dei processi e deve essere indipendente per legge.
La sua esperienza e le sue competenze garantiscono alle aziende un approccio conforme al GDPR e un controllo sulle pratiche ed i processi in essere.
Il GDPR stabilisce che il data protection officer debba “riferire direttamente al vertice gerarchico della società”.
Di fatto, con questa misura il DPO diventa un interlocutore fondamentale con cui i vertici aziendali possono e devono interagire per assicurare un coordinamento tra i progetti aziendali e la conformità alla normativa con lo scopo di rispettare e fidelizzare i clienti.
Per quali aziende è obbligatorio il DPO ?
Sebbene i benefici di poter contare su un DPO rendano più che opportuno introdurre questa figura in azienda, al momento l’obbligo di istituire una carica di data protection officer è previsto solo in alcuni casi specifici.
In particolare, è obbligatorio ricorrere a un DPO:
- Se l’organizzazione è un’autorità pubblica o un organismo pubblico;
- Quando le società private svolgono trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su “larga scala”;
- Quando sono previsti trattamenti su larga scala di dati particolari (come informazioni relative alla salute) o di dati che riguardano condanne penali e reati da parte di enti privati.
L’obbligo è strettamento legato all’espressione “larga scala”, che può essere soggetta ad interpretazione e che viene esplicitata nel considerando 91 del GDPR.
Per aiutare le aziende a interpretare la legge, il Garante per la Protezione dei Dati Personali, l’Autorità di Controllo Italiana, ha pubblicato delle FAQ sul proprio sito internet relativamente all’obbligo di designazione del DPO in ambito privato.
A tale proposito, il Garante ritiene che, sebbene non obbligatoria, la nomina del DPO sia sempre opportuna.
Cosa fa il DPO ?
Abbiamo già accennato a quali sono i compiti principali di un DPO, possiamo adesso indicare la modalità di intervento di questa figura.
Ebbene, tra le mansioni di un DPO rientrano le seguente attività:
- Informare e fornire raccomandazioni in merito agli obblighi di legge ed i requisiti da implementare, ponendosi a tutti gli effetti come ‘consigliere fidato’;
- Verificare che la normativa sia applicata ed effettivamente implementata nel rispetto dei principi del GDPR in ognuno dei processi messi in atto e dei progetti in corso di sviluppo;
- Fornire pareri, su richiesta, circa la valutazione d’impatto sulla protezione dei dati;
- Cooperare con l’autorità di controllo (con la quale funge da “punto di contatto”).
DPO e chiusura del bilancio
Il DPO documenta le sue attività di sorveglianza con una relazione come gli altri organi di vigilanza e controllo dell’azienda. Il periodo di chiusura del bilancio societario è il periodo più indicato per la comunicazione delle risultanze delle attività realizzate all’organo amministrativo.
La relazione annuale del DPO è un adempimento essenziale per i motivi seguenti:
- E il supporto di comunicazione con il vertice dell’azienda per quanto riguarda le attività di vigilanza svolte, lo stato di conformità al GDPR e le eventuali interazioni con il Garante;
- Consente all’azienda di dimostrare l’effettiva implementazione del GDPR.
Sebbene non specificato nel GDPR, la relazione annuale accompagna nella prassi il bilancio della società, e si affianca alle relazioni del revisore legale, del Collegio Sindacale e dell’Organismo di Vigilanza (ove esistente).
Per ultimo, è bene sapere che la relazione annuale del DPO deve contenere alcuni elementi essenziali, quali:
- I risultati del piano di vigilanza e degli audit svolti dal DPO;
- Le informazioni aziendali di rilievo;
- Le misurazioni dei KPI;
- Eventuali problematiche riscontrate, evidenziate in maniera analitica e con l’indicazione, ove possibile, dell’impatto che comportano per la società.
La relazione annuale viene realizzata dal DPO sulla base del programma di sorveglianza e dei relativi esiti accompagnati da un piano di attività per gli anni successivi. E quindi uno strumento di accountability aziendale che rispecchia l’impegno aziendale sulla tematica del GDPR e la sua implementazione.
0 risposte