Il DPO: chi è e perché è utile in azienda?

DPO

Con la definitiva entrata in vigore del Regolamento UE 2016/679, meglio noto ai più con l’acronimo di GDPR (General Data Protection Regulation), è stata introdotta la figura del DPO (Data Protection Officer).

Sono stati scritti fiumi di parole su questa “mitologica” figura ma ancora oggi sono poche le Aziende, anche quelle obbligate alla sua designazione, che ne comprendono la funzione e l’importanza.

Provo a dare una lettura “formale” di chi debba essere il Data Protection Officer :

L’art.38 del Regolamento Europeo sulla protezione dei dati personali, descrive la posizione del “Responsabile della protezione dei dati“: egli deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, adempiere alle funzioni e ai compiti in piena indipendenza e non ricevere alcuna istruzione per quanto riguarda il loro esercizio, riferendo direttamente ai superiori gerarchici. Deve essere adeguatamente sostenuto nell’esecuzione dei suoi compiti e gli deve essere garantita la presenza di personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento.

L’art.39 del Regolamento Europeo sulla protezione dei dati personali, elenca i compiti del Responsabile della protezione dei dati:

  1.  informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del presente Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’Autorità di controllo;
  5. fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Ma, nel concreto, cosa deve fare per l’Azienda questa figura?

Vista l’ampia presenza di questo professionista nella vita dell’Impresa, e considerate le caratteristiche che lo contraddistinguono, si posso identificare molteplici funzioni che il DPO può e deve svolgere :

  • Affiancare il management (o la proprietà) nella definizione delle politiche aziendali per un corretto trattamento dei dati personali, siano essi quelli del personale siano essi quelli dei clienti; e qui mi sento di dover fare qualche osservazione: sono dell’avviso che la funzione così estesa del DPO, possa risultare di supporto anche alla definizione o alla revisione dei processi interni, in modo tale che siano portati all’evidenza tutti i vantaggi dell’ introduzione o del miglioramento di questi ultimi;
  • Svolgere funzioni di sorveglianza, ed io aggiungerei “controllo”, della corretta gestione delle informazioni, degli strumenti e dell’applicazione delle politiche dell’Azienda per il trattamento;
  • Formare! Quando in Azienda si parla di formazione, generalmente, questa azione viene vista come una sottrazione del personale ai compiti di produzione. Resta sempre, a mio avviso, necessario domandarsi il costo per l’Impresa di errori del personale che autonomamente si trova a dover interpretare procedure o regolamenti senza aver ricevuto opportuna formazione;
  • Collaborare. Credo che questo termine debba essere letto in maniera estesa, quindi assumendo che il ruolo del DPO possa, almeno in parte, essere inteso come quello di un riferimento per tutta la struttura, in ogni sua parte e non come un mero “controllore” che ostacola lo svolgimento delle attività. Bisogna sempre ricordare che lo scopo primario del DPO deve essere quello di salvaguardare!

Il mio approccio è sicuramente quello di chi, per molti anni, ha ricoperto ruoli di consulente per le Aziende e, di conseguenza, si ritiene parte attiva nella vita dell’Impresa.

In definitiva la mia idea di cosa un DPO debba rappresentare è quella che possa, anzi, debba, essere un riferimento collaborativo per chiunque all’interno di un’azienda e non limitare la propria azione alla mera applicazione del Regolamento Europeo.

Se ti è piaciuto questo articolo, condividilo!

Be the first to comment

Leave a Reply

L'indirizzo email non sarà pubblicato.


*