Il Data Protection Officer o Responsabile della Protezione dei Dati (in Unione Europea) o Consulente per la protezione dei dati (in Svizzera), è una nuova figura professionale con determinate e specifiche competenze che il GDPR ha introdotto in UE e la nuova Legge Federale sulla Protezione dei Dati introdurrà nel 2022 in Svizzera.
Tale nuova figura chiave nella protezione dei dati sarà obbligatoria per la Pubblica Amministrazione, per le Grandi Imprese e per tutte quelle organizzazioni che trattano un determinato numero di soggetti destinatari, effettuano trattamenti particolari e delicati, e trattano i c.d. Dati particolari. Il Data Protection Officer è una figura di stampo manageriale, indipendente, competente e in diretta relazione con i vertici aziendali.
Si tratta di una nuova forma di professionalità costituita da soggetti in possesso di conoscenze sia giuridiche sia informatiche sia di sicurezza. Proprio tale difficoltà comporta il fatto che spesso la figura sia rappresentata da una società di consulenza (specificando comunque la persona fisica indicata come D.P.O).
Grazie alle competenze ed esperienze maturate nell’ambito della Privacy e della protezione dei dati personali i professionisti di Advanction possono costituirsi come DPO esterni all’azienda.
L’obiettivo del nostro incarico in qualità di Data Protection Officer è quello dì accompagnare l’organizzazione in un processo di adeguamento normativo secondo quanto prescritto dalle normative in ambito Privacy per priorità di intervento, per coloro che non hanno ancora intrapreso tale percorso, e mantenere un livello elevato in relazione agli standard normativi, tutelando il Titolare e il Responsabile del trattamento da sanzioni penali, civili ed amministrative.
Il DPO secondo il GDPR
Sarà incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal Regolamento;
b) sorvegliare l’osservanza del Regolamento nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva(articolo 36 del REG UE 2016/679).
Potrà inoltre svolgere ulteriori funzioni concordate preventivamente con il Titolare o con il Responsabile.
Il D.P.O riferirà direttamente al vertice aziendale il lavoro svolto ma sarà indipendente e non riceverà istruzioni per quanto riguarda l’esecuzione dei suoi compiti.
Il DPO secondo la LPD
Il consulente funge da interlocutore per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati.
Ha segnatamente i compiti seguenti:
a. fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati;
b. partecipare all’applicazione delle disposizioni sulla protezione dei dati.
Il consulente per la protezione dei dati:
a. esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da questi istruzioni;
b. non esercita attività inconciliabili con i suoi compiti di consulente;
c. dispone delle conoscenze tecniche necessarie.
Il titolare del trattamento pubblicherà i dati di contatto del consulente e li comunicherà all’IFPDT.
DPO: perché meglio esterno?
Assicura il principio di imparzialità: se fosse un dipendente, svolgendo altre mansioni all’interno dell’azienda, potrebbe risultare autore di un possibile conflitto di interessi con quelle proprie dell’altro incarico.
Il DPO deve, invece, essere una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali.
Assicura le competenze richieste; difficilmente all’interno dell’Azienda è presente una figura con i requisiti richiesti dalla normativa (necessari per legge).
In sintesi, egli necessita di una preparazione specialistica, una formazione continua e di un’esperienza concreta acquisita sul campo nel corso del tempo, in modo da essere in grado di supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.