Il Data Protection Officer: funzioni e responsabilità

Chi è il DPO (Data Protection Officer)? Perché è così importante questa figura in ambito aziendale?

Il DPO, in italiano RPD, è il Responsabile della Protezione dei Dati, un consulente tecnico e legale con potere esecutivo.

Si tratta di una nuova figura professionale introdotta dal GDPR, le cui responsabilità di informare, controllare e cooperare sono descritte in modo preciso all’articolo 39.

Il suo dovere è di premurarsi che il trattamento di dati personali e la gestione dei rischi siano coordinati secondo le indicazioni del Regolamento Europeo.

Per questo consiglia e guida in tal senso titolare, addetti e responsabili del trattamento dei dati.

Data Protection Officer: quando è consigliabile la sua designazione e quando invece è obbligatoria

Data Protection Officer e obbligatorietà della sua designazione

La designazione del Data Protection Officer non è sempre obbligatoria.

I casi di obbligatorietà sono:

  • quando i dati personali sono trattati da Pubbliche Amministrazioni (ad esempio scuole oppure ospedali pubblici);
  • per le aziende che trattano i dati personali sulla base di un monitoraggio che avviene su larga scala;
  • per soggetti che trattano dati giudiziari, sindacali o biometrici.

La sua designazione è invece consigliabile, come il Garante italiano ha specificato, per i concessionari di servizio pubblico o comunque con aziende e professionisti che ogni giorno devono registrare dati personali.

Ad ogni modo, grazie alla consulenza di moltosenso è possibile chiarire ogni dubbio al riguardo. 


Cos’è l’accountability e come si lega alla figura del Data Protection Officer?

L’Accountability è un principio fondamentale introdotto dal GDPR, nonché il criterio guida del Regolamento per la protezione dei dati personali.

Accountability significa letteralmente “responsabilità” e dunque si lega al concetto di essere “degni di fiducia”. In questo senso si dice che l’azienda, l’ente, l’associazione o l’imprenditore che tratta i dati personali deve essere “accountable”.

Il Data Protection Officer, nell’ambito della sua funzione di cooperazione e collaborazione, ha il compito di assicurarsi che il titolare del trattamento dei dati sia “accountable”, ossia si comporti secondo il principio di “accountability” introdotto dal GDPR.

Essere responsabili significa, come il Regolamento Europeo sottolinea, avere consapevolezza dei rischi in ambito privacy e dei doveri ad essa correlati. Ecco perché il Data Protection Officer deve essere visto come una figura “amica”, che rende questo processo molto più semplice, evitando fastidiosi grattacapi.


Mancanza di consapevolezza dei rischi: cosa comporta e perché le aziende devono propendere per il lasciarsi guidare da una guida esperta e competente

Il DPO come guida esperta e consapevole dei rischi

La mancata consapevolezza dei rischi porta a conseguenze a volte irrimediabili, da un punto di vista legale, ma anche pratico. Primo rischio fra tutti, il data breach, di cui abbiamo scritto approfonditamente in questa pagina dedicata alla sicurezza delle informazioni.

Inoltre, mancare nell’adeguatezza ai rischi corsi dall’azienda, può significare onerose sanzioni per l’azienda. Ormai la stampa ci fornisce quotidianamente esempi di come, grandi aziende internazionali e talvolta anche piccole realtà, finiscano per pagare cifre astronomiche per il fatto di aver cercato di usufruire dei dati personali dei propri clienti, senza il relativo consenso oppure senza applicare appropriate misure di sicurezza.

Per ridurre la mancanza di consapevolezza dei rischi, il Data Protection Officer procede ad una precisa e puntuale analisi dei rischi e, dove occorre, ad una completa valutazione d’impatto (DPIA).

Solo così è possibile adottare efficaci contromisure in linea con l’azienda, volte a tutelare la privacy, i dati personali e ad evitare tali ingenti sanzioni che peserebbero sull’economia aziendale.


Il registro delle attività di trattamento, che cos’è? È obbligatorio averlo?

Uno dei nuovi adempimenti più importanti in ambito del trattamento dei dati personali è il Registro delle attività di trattamento. Il Regolamento Europeo 2016/679 specifica infatti, all’articolo 30, che deve essere predisposto – ed eventualmente messo a disposizione dell’Autorità Garante qualora lo richieda – il registro delle attività di trattamento dei dati personali.

Si tratta di un documento che comprende specifiche informazioni sulle attività svolte da parte dell’organizzazione per ciò che riguarda le diverse operazioni eseguite per il trattamento dei dati personali. Risulta un documento centrale, dato il dettaglio delle informazioni che deve fornire il Titolare del Trattamento: la categoria degli interessati, la finalità dei trattamenti, eventuali trasferimenti di dati e il loro corrispondente periodo di conservazione. Inoltre, questo documento sarà uno dei primi input per eseguire una corretta analisi dei rischi.

Tale registro deve essere tenuto anche in formato elettronico dal Titolare del trattamento dei dati.

Il par. 5 dell’art. 30 indica che esso non è obbligatorio “per le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Spetta al Data Protection Officer valutarne l’obbligatorietà e indicare cosa deve contenere il registro del trattamento dei dati.


Compliance (conformità) al regolamento europeo: alcuni esempi di come agisce in tal senso il DPO responsabile

Il Data Protection Officer aiuta il Titolare del trattamento ad effettuare una iniziale valutazione dell’impatto del GDPR attraverso varie fasi:

  • mappatura di compiti aziendali, ad esempio attraverso una checklist;
  • analisi dei documenti aziendali, dei processi e degli asset al fine di identificare i rischi relativi al trattamento dei dati (modalità e tipologia di dati trattati);
  • analisi dei gap (o non conformità) rispetto al GDPR e azioni per mitigarli.

Chiedi maggiori informazioni

la realtà moltosenso

Grazie a moltosenso, le aziende sono in grado di velocizzare in maniera intelligente il processo che permette di garantire la sicurezza delle informazioni.

moltosenso offre tra i suoi servizi la messa a disposizione di un Data Protection Officer competente, responsabile e attento alle esigenze aziendali.

Contattaci per saperne di più o per ottenere semplicemente maggiori informazioni.

Un membro del nostro team si premurerà di risponderti nel minor tempo possibile.