La figura del DPO (Data Protection Manager) tra competenze ed attività previste: facciamo chiarezza e cerchiamo di capire come tale figura, sebbene preparata e certificata, abbia, in realtà, necessità del supporto di un team al fine di assolvere al meglio le attività previste per un corretto adeguamento al GDPR.
Ecco gli argomenti principali ralativi al DPO, alla sua nomina ed al suo ruolo.
- Misure di sicurezza GDPR: chi è il DPO
- Checklist adempimenti privacy: il DPO è obbligatorio per la mia azienda
- Checklist privacy: ruoli e attività del DPO
Misure di sicurezza GDPR: chi è il DPO
Il Data Protection Officer, o DPO, è un soggetto interno o esterno all’organizzazione e qualificato ad occuparsi esclusivamente della protezione dei dati personali.
Le competenze di questo soggetto spaziano da quelle giuridiche a quelle informatiche, passando per una conoscenza approfondita del risk management – necessaria per restare aggiornato sulle misure di sicurezza in materia di protezione dati.
Il Data Protection Officer svolge la funzione di interfaccia tra titolare dei dati e interessati, nonché tra titolare e autorità garanti.
A tal proposito, è importante premere su una adeguata nomina del DPO, che dovrà rispettare alcuni princìpi fondamentali: tra questi, ricordiamo il conflitto d’interessi – il CEO dell’organizzazione, per esempio, non potrà essere nominato come DPO, né potrà esserlo qualsiasi altro membro con un potenziale incentivo a nascondere o mentire riguardo certi aspetti del trattamento dati aziendale.
Secondo l’Articolo 37 del GDPR, la designazione del DPO spetta al titolare del trattamento dati, il quale dovrà attentamente valutare gli utilizzi concreti che verranno fatti di questi ultimi.
Data la grande quantità di competenze richieste per far fronte a diversi compiti, il DPO spesso è parte di un team che lo assiste nel portare a termine il suo scopo.
È quindi necessario, una volta istituito il team e fatto il kickoff delle attività previste, effettuare una distribuzione precisa dei compiti – variabili a seconda delle attività dell’azienda – e assegnare ciascuno di essi ad un membro specifico della squadra DPO.
Checklist adempimenti privacy: il DPO è obbligatorio per la mia azienda?
La figura del Data Protection Officer non è assolutamente necessaria per tutti i tipi di aziende e studi professionali.
I casi in cui la nomina del DPO si configura come obbligatoria sono quelli nei quali l’organizzazione si trova a trattare ingenti quantità di dati sensibili.
Un’autorità pubblica, per esempio, dovrà necessariamente far fronte alla necessità di avere un DPO tra i soggetti aziendali, così come dovranno farlo organizzazioni che forniscono beni o servizi processando una gran quantità di informazioni personali.
Checklist privacy: ruoli e attività del DPO
Le attività del DPO sono numerose e disparate.
L’Unione Europea, tuttavia, nel legiferare sul GDPR ha tracciato delle linee guida sulle mansioni di questo soggetto.
Ecco alcune delle mansioni principali che il DPO, dopo la nomina, si troverà a svolgere all’interno dell’azienda:
- Assicurare che sia il titolare che gli interessati al trattamento dei dati siano informati riguardo gli obblighi, le responsabilità e i diritti in materia di protezione dei dati;
- Dare una direzione interna all’organizzazione per quanto riguarda l’interpretazione e l’applicazione delle regole sulla protezione dei dati;
- Creare un registro di operazioni compiute dall’azienda sui dati e segnalare quelle particolarmente rischiose all’EDPS (European Data Protection Supervisor, l’autorità europea garante per il trattamento dei dati);
- Gestire richieste o richiami da parte di tutte le parti interessate dal trattamento dei dati;
- Mappatura di eventuali rischi e di elementi chiave nei sistemi informativi aziendali;
- Formazione dei dipendenti in materia di protezione dei dati;
- Assistenza in caso di impact assessment e data breach;
- Segnalare all’organizzazione eventuali mancanze nell’applicazione delle regole in materia di trattamento dei dati
Scopri i nostri servizi in materia di GDPR e Privacy
Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.
SCOPRI DI PIÙ
