Il Data Protection Officer (DPO), spesso tradotto con il termine Responsabile della Protezione dei Dati, è la nuova figura professionale introdotta dal Regolamento Europeo UE 2016/679. Per assolvere efficacemente ai propri compiti, il DPO deve avere competenze informatiche, giuridiche e gestionali.

I compiti del DPO in azienda

Il responsabile della protezione dei dati e della sicurezza informatica è solitamente una figura esterna all’azienda, nominata dal titolare o dal responsabile del trattamento, con il compito di verificare che l’organizzazione sia in regola con la normativa vigente rispetto alla protezione dei dati. Inoltre, il DPO si occupa della formazione e della sensibilizzazione del personale relativamente al tema della protezione dei dati informatici ed è l’interfaccia dell’impresa di fronte all’Autorità Garante.
Per questo motivo il DPO deve poter agire in piena indipendenza e autonomia, senza ricevere istruzioni, e deve poter disporre di tutte le risorse aziendali necessarie per l’espletamento dei propri compiti. Infine, il Data Protection Officer ha il potere e l’obbligo di riferire direttamente ai vertici aziendali.

 La nomina del DPO è obbligatoria?

Sono tenuti alla nomina del DPO le organizzazioni che rientrano nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti il cui “core business” consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali. Un tipico esempio sono le assicurazioni, le banche e gli istituti di credito, le società finanziarie, le società appartenenti al settore “utilities”, ma anche le organizzazioni che operano in ambito sanitario, i call center e le società di servizi informatici.
Nei casi diversi da quelli previsti dal GDPR, la nomina del DPO non è obbligatoria, ma resta comunque fortemente raccomandata in virtù del principio di accountability alla base del nuovo Regolamento privacy. Inoltre, dotarsi di un Responsabile della Protezione dei Dati è una misura valutata positivamente, in quanto dimostrazione di responsabilizzazione da parte dell’azienda.