Data Protection Officer: chi è, cosa fa e quanto guadagna

Chi è il Data Protection Officer – che in italiano corrisponde al Responsabile della Protezione dei Dati -, quali sono le competenze DPO (sigla per identificare questa figura in gergo tecnico) e quali sono i compiti del DPO. Definendo la professione, andiamo anche a vedere chi nomina il DPO, ovvero a chi spetta il compito di decretare chi debba ricoprire questo ruolo. Chi deve avere il DPO? Si tratta, a tutti gli effetti, di un consulente tecnico legale che ha potere esecutivo e con un doppio ruolo: non è solo consulente e vigilante ma anche tramite tra l’organizzazione che lo assume e l’autorità.

Il GDPR indica quali sono i suoi compiti all’articolo 39 e, riassumendo, si tratta di informare, sorvegliare e cooperare. Tutto questo avviene affiancando titolare, addetti e responsabili del trattamento dati allo scopo di conservare le informazioni, gestire i rischi relativi con conoscenze e consapevolezze relativamente alle indicazioni del Regolamento europeo. La media nazionale dello stipendio Data Protection Officer ammonta a 45.427 euro.

La stipendio media nazionale per la professione di Data Protection Officer è di €45.427

LEGGI ANCHE >>> Instagram: multa di 405 milioni di euro per aver violato il GDPR in materia di protezione dei minori

Chi è il Data Protection Officer e competenze DPO

Scendiamo ulteriormente nei dettagli relativi a competenze e compiti del Data Protection Officer. Si tratta di una figura che fornisce assistenza tecnica e legale al titolare del trattamento dati o a chi ne è responsabile in modo che le azioni relative rispettino il Regolamento europeo. Il punto è provare l’accountability, ovvero la capacità di gestire tutte le questioni relative a raccolta, trattamento e mantenimento dei dati personali.

Al netto del suo ruolo, il Data Protection Officer deve essere in grado di fornire una serie di consigli e consulenze affinché il cliente assuma autoconsapevolezza rispetto alla tematica. Un bravo DPO procede non diffondendo il panico rispetto alle sanzioni che potrebbero arrivare ma aiutando le persone a conoscere e comprendere determinati meccanismi relativi al trattamento dati affinché si possano adeguare di conseguenza.

Essendo un lavoro legato al counseling, un bravo professionista deve essere in grado di analizzare situazione per situazione. Cosa significa all’atto pratico? Che, a prescindere da chi lo nomina, deve essere in grado di partire dalle leggi relative, spiegare l’articolo che riguarda quell’ambito e cosa preveda il GDPR in quello specifico caso (tutto deve essere tenuto in considerazione: dalla privacy by design al data breach passando per l’accountability).

L’elenco di compiti del DPO

Considerati i suoi compiti, il DPO deve avere una conoscenza specialistica e aggiornata di tutte le normative e delle prassi legate alla protezione dei dati. Il suo ruolo, basandosi su tali conoscenze, consiste in:

• informare e fornire consulenza sia al titolare o responsabile del trattamento dati che ai dipendenti che, svolgendo la loro mansione, entrano in contatto con questo tipo di informazioni;
• sorvegliare l’osservanza della normativa dell’Unione Europea e della normativa nazionale così come le politiche del titolare o del responsabile del trattamento relativamente a: attribuzione delle responsabilità, sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• cooperare con l’autorità Garante nazionale;
• qualora fosse richiesto, fornire un suo parere relativo alla valutazione d’impatto su protezione dati, andando a sorvegliarne lo svolgimento;
• fare da punto di contatto per l’autorità Garante nazionale per questioni relative al trattamento (compresa la consultazione preventiva dell’articolo 36).

Oltre a questi compiti, esplicitamente elencati nell’articolo 39, rimane la possibilità al titolare o responsabile del trattamento dati di aggiungerne altri. Va segnalato, quindi, che questo sono la base minimale della professione.

Chi nomina il DPO e chi deve avere il DPO?

Il DPO può essere nominato sia da grandi aziende che da comuni, secondo quanto stabilito dall’articolo 37 del GDPR. A desginarlo è il titolare o il responsabile del trattamento, sulla base di un contratto, e la designazione deve essere comunicata all’Autorità del controllo nazionale. Sono tre i casi in cui questa designazione è obbligatoria:

1. Amministrazioni e enti pubblici (tranne le autorità giudiziarie nell’esercizio delle loro funzioni): cosa si intende per autorità pubblica? Nel regolamento non c’è una definizione precisa, quindi si procede per interpretazione del diritto nazionale. Viene raccomandata la nomina di un DPO anche per organismi privati incaricati di svolgere pubbliche funzioni o che esercitano pubblici poteri (ad esempio trasporti pubblici o forniture elettriche).
   Per il Garante italiano tutti gli organismi amministrativi, pubblici no-profit, Camere di Commercio, università, autorità locali, Agenzie della salute pubblica).
2. Nei casi in cui l’attività principale svolta da titolare o responsabile del trattamento dati consista nel trattamento di informazioni che per natura, oggetto o finalità richiedano un regolare controllo degli interessati su larga scala.
   Cosa si intende per attività principale? Le operazioni essenziali e necessarie per il raggiungimento degli obiettivi aziendali. Va tenuto presente il legame tra la gestione dei dati e quello che è la funzione principale dell’azienda. Un esempio: la funzione principale di un ospedale è prendersi cura dei pazienti però, facendolo, il trattamento dei dati sanitari è strettamente legato e quindi – in questo caso – si può dire che rientra tra le attività principali. Un ospedale, quindi, deve procedere con la nomina di un DPO.
   Parlando del monitoraggio regolare, invece, lo si può classificare come il controllo dei vari strumenti di tracciatura e profilazione online e offline.
3. Qualora l’attività principale consista nel trattamento su larga scala di dati sensibili inerenti salute, vita sessuale, dati biometrici e giudiziari e dati genetici. Una palestra, per esempio, disponendo di dati relativi alla salute dei suoi clienti potrebbe trovarsi a dover nominare un DPO.

Solitamente non accade che un azienda di piccole o media dimensioni abbia l’obbligo di nominare questa figura ma, ad oggi, ci sono aziende piccole che comunque si trovano a far fronte a grandissime quantità di dati visti gli strumenti informatici di cui tutti disponiamo. Ecco che allora un impianto di videosorveglianza o un centro commerciale possono trovarsi a dover nominare un DPO.

Cosa succede se non si nomina un DPO quando sarebbe obbligatorio farlo? Si prevedono sanzioni amministrative fino a 10 milioni di euro o pari al 2% del fatturato annuo di chi trasgredisce.