Chi è il Data Protection Officer – che in italiano corrisponde al Responsabile della Protezione dei Dati -, quali sono le competenze DPO (sigla per identificare questa figura in gergo tecnico) e quali sono i compiti del DPO. Definendo la professione, andiamo anche a vedere chi nomina il DPO, ovvero a chi spetta il compito di decretare chi debba ricoprire questo ruolo. Chi deve avere il DPO? Si tratta, a tutti gli effetti, di un consulente tecnico legale che ha potere esecutivo e con un doppio ruolo: non è solo consulente e vigilante ma anche tramite tra l’organizzazione che lo assume e l’autorità.
Il GDPR indica quali sono i suoi compiti all’articolo 39 e, riassumendo, si tratta di informare, sorvegliare e cooperare. Tutto questo avviene affiancando titolare, addetti e responsabili del trattamento dati allo scopo di conservare le informazioni, gestire i rischi relativi con conoscenze e consapevolezze relativamente alle indicazioni del Regolamento europeo. La media nazionale dello stipendio Data Protection Officer ammonta a 45.427 euro.
La stipendio media nazionale per la professione di Data Protection Officer è di €45.427
LEGGI ANCHE >>> Instagram: multa di 405 milioni di euro per aver violato il GDPR in materia di protezione dei minori
Scendiamo ulteriormente nei dettagli relativi a competenze e compiti del Data Protection Officer. Si tratta di una figura che fornisce assistenza tecnica e legale al titolare del trattamento dati o a chi ne è responsabile in modo che le azioni relative rispettino il Regolamento europeo. Il punto è provare l’accountability, ovvero la capacità di gestire tutte le questioni relative a raccolta, trattamento e mantenimento dei dati personali.
Al netto del suo ruolo, il Data Protection Officer deve essere in grado di fornire una serie di consigli e consulenze affinché il cliente assuma autoconsapevolezza rispetto alla tematica. Un bravo DPO procede non diffondendo il panico rispetto alle sanzioni che potrebbero arrivare ma aiutando le persone a conoscere e comprendere determinati meccanismi relativi al trattamento dati affinché si possano adeguare di conseguenza.
Essendo un lavoro legato al counseling, un bravo professionista deve essere in grado di analizzare situazione per situazione. Cosa significa all’atto pratico? Che, a prescindere da chi lo nomina, deve essere in grado di partire dalle leggi relative, spiegare l’articolo che riguarda quell’ambito e cosa preveda il GDPR in quello specifico caso (tutto deve essere tenuto in considerazione: dalla privacy by design al data breach passando per l’accountability).
Considerati i suoi compiti, il DPO deve avere una conoscenza specialistica e aggiornata di tutte le normative e delle prassi legate alla protezione dei dati. Il suo ruolo, basandosi su tali conoscenze, consiste in:
Oltre a questi compiti, esplicitamente elencati nell’articolo 39, rimane la possibilità al titolare o responsabile del trattamento dati di aggiungerne altri. Va segnalato, quindi, che questo sono la base minimale della professione.
Il DPO può essere nominato sia da grandi aziende che da comuni, secondo quanto stabilito dall’articolo 37 del GDPR. A desginarlo è il titolare o il responsabile del trattamento, sulla base di un contratto, e la designazione deve essere comunicata all’Autorità del controllo nazionale. Sono tre i casi in cui questa designazione è obbligatoria:
Solitamente non accade che un azienda di piccole o media dimensioni abbia l’obbligo di nominare questa figura ma, ad oggi, ci sono aziende piccole che comunque si trovano a far fronte a grandissime quantità di dati visti gli strumenti informatici di cui tutti disponiamo. Ecco che allora un impianto di videosorveglianza o un centro commerciale possono trovarsi a dover nominare un DPO.
Cosa succede se non si nomina un DPO quando sarebbe obbligatorio farlo? Si prevedono sanzioni amministrative fino a 10 milioni di euro o pari al 2% del fatturato annuo di chi trasgredisce.