Il Data Protection Officer: chi è e perché sarà così importante?

La figura del Data Protection Officer comincia a stagliarsi all’orizzonte in modo sempre più nitido e, con il passare dei mesi e l’avvicinarsi delle scadenze per l’adeguamento alle normative in materia di privacy, perde finalmente i suoi connotati di figura mitologica.

Secondo il Sole24Ore, che dedica a questa professione addirittura un intero articolo, il Data Protection Officer si rivelerà essenziale (e, di fatto, sarà esplicitamente richiesto) proprio per la sua diretta connessione con il GDPR, ossia il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali. Quest’ultimo, lo ricordiamo, sarà ufficialmente in vigore a partire dal maggio 2018 e restano dunque pochi mesi per adeguarsi alle nuove disposizioni.

La normativa prevede che il Data Protection Officer dovrà necessariamente essere presente all’interno delle aziende pubbliche e private che svolgono trattamenti sui dati potenzialmente in grado di ledere gravemente i diritti degli interessati. Proprio per questa ragione, tali aziende dovranno essere monitorate da un professionista esplicitamente preposto – e indipendente rispetto alle logiche aziendali.

Secondo l’articolo 37 del Regolamento UE, il Data Protection Officer «deve essere designato sulla base della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati». Tuttavia, nonostante la chiarezza delle indicazioni, le aziende italiane che sono state in grado di rispettarle si contano sulle dita di una mano.

La ragione principale sembra essere, al momento, una scarsa preparazione e una conoscenza soltanto superficiale in materia di Privacy e tutela dei dati personali. L’errore chiave che questa mancanza di know-how genera risiede, nella maggior parte dei casi, nell’attribuzione del ruolo di Data Protection Officer a figure già esistenti in azienda, come ad esempio l’IT Manager. Si tratta di uno scivolone che può generare conseguenze anche gravi, sia in termini di sanzioni pecuniarie (fino a 20 milioni di euro o al 4% del fatturato aziendale annuo) che di generazione di conflitti di interesse e incompatibilità di ruoli.

Nicola Bernardi, presidente di Federprivacy, cerca dunque di dipanare la matassa: «Un titolare del trattamento dei dati che designa il proprio IT Manager come Data Protection Officer non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il Dpo dovrebbe in pratica controllare se stesso. Quando il Regolamento Ue sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali».

Per selezionare il Data Protection Officer, quindi, è assolutamente indispensabile possedere quantomeno le conoscenze giuridiche necessarie a una scelta corretta e trasparente. Il Data Protection Officer, a sua volta, dovrà avere il medesimo know-how per interpretare le norme di applicare in modo adeguato, ma anche competenze di tipo informatico, per rapportarsi poi adeguatamente con i responsabili dei sistemi informativi.

Cosa farà, dunque, il Data Protection Officer?

Si occuperà di realizzare un’analisi completa dei rischi relativi al trattamento dei dati, e ne valuterà poi le interazioni con altre discipline connesse alla sicurezza e alla gestione delle informazioni.

Diversamente dal Privacy Officer, il Data Protection Officer non potrà essere un dipendente già presente in azienda impegnato a rivestire un ruolo meramente esecutivo. Al contrario, il Data Protection Officer si collocherà come figura indipendente e super partes con il compito di sorvegliare l’osservanza del Regolamento UE e delle prescrizioni specifiche relative al proprio territorio nazionale, cooperare con l’autorità di controllo, informare e consigliare chi gestisce il trattamento dei dati sull’eventuale non conformità delle operazioni svolte, e infine suggerire soluzioni.

Vista la complessità del compito del Data Protection Officer, le aziende dovrebbero quindi iniziare subito a cercarlo!