DPO e Privacy Officier: chi sono e che ruoli ricoprono


Tematiche quali la privacy e il trattamento dei dati personali hanno assunto negli ultimi anni sempre maggiore importanza, specie a seguito dell’entrata in vigore del Regolamento Europeo 2016/679 (GDPR) nel maggio 2018.

A partire da tale data, infatti, tutte le pubbliche amministrazioni hanno dovuto adeguare la gestione dei propri dati alla nuova normativa e nominare un responsabile della protezione dei dati (o DPO), il quale – lavorando a stretto contatto con titolare e responsabile del trattamento – contribuisce a dare attuazione agli elementi essenziali del regolamento.

Altra figura che può coadiuvare il titolare del trattamento nell’adeguare la gestione delle informazioni personali al GDPR è il consulente privacy (o Privacy Officer).

DPO e Privacy Officer svolgono ruoli e funzioni diverse tra loro: vediamo di definirli con maggior precisione nei successivi paragrafi.


Chi è il Privacy Officer


La figura del consulente privacy (o Privacy Officer) nasce negli Stati Uniti per rispondere all’allarme lanciato dai consumatori circa l’utilizzo dei propri dati personali, per garantire il pieno rispetto della normativa.

Si tratta dunque di una figura di consulenza strategica, il cui compito è quello di osservare, valutare e organizzare la gestione del trattamento dei dati all’interno di un’organizzazione, affinché gli stessi siano utilizzati e trattati in maniera adeguata rispetto alla legge.

Il Privacy Officer può essere un dipendente o un consulente esterno all’organizzazione.

È tuttavia fondamentale che si interfacci costantemente con il titolare del trattamento, al fine di definire un piano strategico volto a condurre l’organizzazione verso il perseguimento e il conseguente mantenimento della compliance, rilevando eventuali fattori di rischio e necessità, e garantendo in questo modo un processo di adeguamento continuativo nel tempo e sempre caratterizzato dalla stessa efficacia.

Il ruolo del consulente privacy


Tra le varie mansioni assunte dal Privacy Officer compare l’assessment, fase preliminare del processo di adeguamento al GDPR.

Tale attività restituisce il quadro del livello di “maturità” acquisito dall’organizzazione relativamente al regolamento in una data circostanza, evidenziando eventuali carenze che necessitino di essere colmate per assicurare la conformità alla normativa.

Il lavoro del consulente privacy supporta ogni ente, pubblico o privato, nel definire un piano di adeguamento al GDPR in grado di contemplare ogni aspetto: legale, gestionale o tecnologico.

Definito il ciclo di vita del dato personale – e tenuto conto delle modalità di impiego, delle finalità legate all’utilizzo, così come delle tecnologie impiegate e dei soggetti coinvolti nel trattamento – l’analisi condotta dal consulente privacy si focalizza su quelli che possono essere gli eventuali fattori di rischio, quali banalmente il comportamento assunto dal personale, gli eventi che possono compromettere strumentazioni e tecnologie impiegate nelle attività di trattamento, o ancora eventuali accessi non autorizzati che comportino la modifica, la perdita o la diffusione dei dati personali.

Una volta identificati e messi in atto tutti i processi organizzativi necessari a gestire le attività svolte relativamente ai dati, il Privacy Officer svolge altresì le seguenti mansioni:

  • Attività di monitoraggio e aggiornamento legate a politiche, procedure e regolamenti, assicurandosi che le stesse siano in linea con le attività di trattamento effettuate
  • Attività di gestione e aggiornamento del registro delle attività di trattamento
  • Attività di supporto e consulenza rivolta ai referenti individuati in ogni reparto e legata a qualsivoglia questione relativa alla normativa in materia di protezione dei dati personali
  • Attività di formazione, aggiornamento e sensibilizzazione del personale circa gli adempimenti derivanti dalla normativa in materia di trattamento dei dati personali e i principali rischi inerenti ai trattamenti messi in atto

Chi è il DPO


Il responsabile della protezione dei dati (o DPO) è una figura prevista dal GDPR – diversa dal Privacy Officer – la cui designazione è obbligatoria per gli enti pubblici come le scuole, nonché per tutti i soggetti che, in qualità di attività principale, trattino categorie particolari di dati, o in alternativa effettuino un monitoraggio regolare e sistematico su larga scala delle persone fisiche.

Per quanto concerne le competenze, al responsabile della protezione dei dati è richiesta espressamente un’approfondita conoscenza della normativa vigente, così come dei protocolli legati alla gestione dei dati personali.

Al contempo i livelli di competenze specialistiche devono essere stabiliti in funzione dei trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e delle misure di protezione imposte.

Qual è il ruolo del DPO


L’art. 39 del GDPR prevede che il DPO svolga una funzione di sorveglianza, volta ad assistere il titolare e il responsabile del trattamento nel controllo del rispetto della normativa.

Per fare ciò, il responsabile della protezione dei dati si occupa di raccogliere tutte le informazioni necessarie e utili a individuare i trattamenti svolti, e ad analizzare e verificare i trattamenti in termini di conformità, svolgendo al contempo attività di informazione e consulenza nei confronti del titolare del trattamento in merito agli obblighi derivanti dalla normativa vigente in materia di protezione dei dati personali.

Su richiesta, il DPO fornisce inoltre al titolare del trattamento un supporto e un parere legato alla valutazione d’impatto sulla protezione dei dati e, qualora necessario, ha la facoltà di monitorarne lo svolgimento.

Punto di contatto con l’Autorità Garante e con i soggetti preposti dalla stessa per funzioni legate al trattamento, il Data Protection Officer coopera con le autorità di controllo, apportando in tal modo notevoli benefici all’organizzazione.

Tale azione promossa dal DPO permette infatti di assecondare l’obbligo di collaborazione imposto dall’art. 31 GDPR, agevolando in tal modo l’accesso ai documenti e alle informazioni necessarie all’espletamento dei poteri correttivi, autorizzativi e consultivi.

Appare altresì fondamentale che il titolare del trattamento si assicuri di coinvolgere in maniera adeguata e tempestiva il DPO in tutte le questioni riguardanti la protezione dei dati personali, fornendogli le risorse umane, tecnologiche e finanziarie utili e imprescindibili per l’adempimento delle proprie mansioni.

Viene da sé che, quanto più complessi o sensibili risultino i trattamenti effettuati dall’organizzazione, tanto maggiori dovranno essere le risorse messe a disposizione del Data Protection Officer.

Esattamente come il consulente, anche il responsabile della protezione dei dati è un professionista della privacy: la differenza risiede nei compiti e nelle relative funzioni, in quanto il consulente supporta il titolare del trattamento nell’implementazione di tutta la documentazione e gli adempimenti, mentre il DPO svolge un ruolo di controllo sulla conformità del materiale prodotto.

Il DPO ha quindi un vero e proprio compito di sorveglianza, dovendo garantire l’osservanza del GDPR all’interno dell’organizzazione per cui lavora.

Inoltre, il responsabile della protezione dei dati gode della massima autonomia e, a differenza del consulente privacy, non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Post simili