GDPR: come selezionare il perfetto DPO

Come scegliere il proprio Data Protection Officer (DPO) – figura professionale introdotta dal General Data Protection Regulation (GDPR) – che si occupa della gestione dei dati personali e del loro trattamento all’interno di aziende private e pubblica amministrazione.

La nomina del DPO, Data Protection Officer, da parte dell’azienda o dell’ente non è sempre obbligatoria, essa è indispensabile in tre casi: quando il trattamento dei dati viene svolto da un’autorità o da un organismo pubblico, quando l’attività principale dell’azienda è direttamente collegata al controllo sistematico dei dati su larga scala, o ancora quando il lavoro svolto riguarda il trattamento di dati sensibili tramite attività di profilazione e monitoraggio. Il ruolo del DPO, dunque, diventa fondamentale per tutti quegli organismi che fanno del trattamento dei dati personali il proprio core business: le Linee Guida proposte dal GDPR aiutano a chiarire quali siano nello specifico le attività per le quali si renda necessaria la nomina del Responsabile della Protezione dei Dati Personali e per quali invece essa non sia indispensabile.

Il titolare del trattamento dei dati personali deve nominare il DPO tenendo conto di diversi fattori, fra i quali le competenze necessarie a svolgere il ruolo e l’estraneità del soggetto scelto a possibili conflitti di interesse. Il DPO, sia egli un dipendente interno o, come più spesso accade, un collaboratore esterno all’organico aziendale, deve possedere una conoscenza adeguata per poter svolgere in totale autonomia e imparzialità le proprie funzioni; può essere nominata come DPO non solo una figura fisica, ma anche un’organizzazione e, inoltre, il ruolo può essere svolto contemporaneamente dal medesimo individuo anche presso più aziende.

Come precisato dal Garante Italiano per la Protezione dei Dati Personali, il DPO nominato non deve essere iscritto ad uno specifico albo professionale; tuttavia, considerata la complessità delle mansioni da svolgere, egli dovrà dimostrare di avere una vasta conoscenza della normativa vigente e delle procedure amministrative nell’ambito della gestione della privacy. In ogni caso, nell’interesse stesso dell’azienda o dell’ente pubblico che deve selezionare la figura del DPO, è bene scegliere un professionista già esperto in materie affini per poter garantire la conformità con le recenti normative europee. Per selezionare una figura competente, uno strumento utile da consultare è la norma UNI 11697:2017, che definisce i ruoli professionali relativi a trattamento e protezione dei dati personali e ne elenca i requisiti fondamentali. Tra le diverse figure professionali quelle più adatte a ricoprire la funzione del DPO sono quelle legate all’ambito informatico e giuridico; oltre agli ingegneri informatici anche avvocati e consulenti legali, infatti, possiedono i requisiti formativi necessari a garantire la tutela del diritto alla privacy e la sicurezza nel trattamento dei dati.