Data Protection Officer, Il GDPR crea una nuova figura in azienda

Data Protection Officer, Il GDPR crea una nuova figura in azienda

Dal 25 maggio 2018 imprese, enti pubblici e amministrazioni dovranno applicare il General Data Protection Regulation, il nuovo regolamento europeo sulla tutela della privacy e la protezione dei dati personali. Un po’ come avviene nel settore della sicurezza, dove le aziende per legge devono dotarsi di responsabili della protezione del personale da incendi e altri potenziali sinistri, le imprese sono ora tenute a individuare figure in grado di garantire la protezione dei dati sensibili, pena sanzioni esemplari che possono raggiungere il 35% del fatturato annuo.

Tra i tanti modi possibili di spiegare il GDPR, c’è anche quello di valutare le funzioni che il nuovo regolamento intesta al Titolare del Trattamento e al Data Protection Officer, figure chiave per rendere operativa la protezione dei dati personali e l’ottemperanza del regolamento UE679/2016 in azienda. Il Titolare del Trattamento dei Dati esiste già, definito dal codice come “la persona fisica, giuridica, la pubblica amministrazione o qualsiasi altro ente […] cui competono le decisioni in ordine alla finalità e alla modalità del trattamento dei dati personali”. Il GDPR innova e responsabilizza questa figura, che ha la delicata funzione di rendere noto come si ottiene il consenso a rilasciare i dati personali, verificare l’età degli interessati, contattare eventualmente genitori e tutori. Vi è poi il capitolo data breaches: in caso di violazione dei dati, i Titolari del Trattamento devono informare prontamente l’Autorità Garante, dato che il senso profondo del GDPR sta proprio nel rispondere in modo adeguato e tempestivo ad attacchi informatici e furti di dati personali, armonizzando la sicurezza in tutti gli stati membri dell’UE.

Il Data Protection Officer è il responsabile della protezione dei dati

Per una rapida attuazione del GDPR, le procedure di gestione dei dati vanno ripensate internamente all’azienda secondo una logica di privacy by design, cioè incorporate in una funzione aziendale. Figura chiave di questo processo è il Data Protection Officer (Responsabile della protezione dei dati). È una figura nominata internamente o esternamente, un esperto che riferisce al Titolare del Trattamento, disegna autonomamente l’organizzazione delle attività di privacy e fa da raccordo tra i vertici aziendali e l’Autorità Garante.

Il Data Protection Officer è il vero attuatore del GDPR, in linea teorica non deve sottostare a dictat perché in azienda è il massimo esperto nella tutela e gestione dei dati sensibili, e andrebbe sostenuto dai vertici aziendali con risorse umane ed economiche dedicate. Non tutte le imprese o enti sono tenuti all’istituzione obbligatoria di un Data Protection Officer, ma nei prossimi due anni si prevede la formazione di ben 150 mila DPO solo in Italia, nominati in via obbligatoria o volontaria, per quella che sarà certamente una delle professioni del futuro.