Data Protection Officer: il professionista della privacy

31.08.2021
Data Protection Officer: il professionista della privacy

La figura del Data Protection Officer

La promulgazione del GDPR - il Regolamento emanato dall'Unione Europea per regolare il trattamento dei dati personali e la privacy dei cittadini dell’Unione Europea - ha portato alla rimodulazione di alcune figure professionali, tra le quali il Data Protection Officer che ha subito una revisione dei propri compiti, per poterli adeguare alle nuove direttive.

Questa figura ha come principale responsabilità, quella di promuovere il rispetto delle normative privacy - sia nazionali che europee - nella gestione del trattamento dei dati personali all’interno di un’azienda, con lo scopo di tutelare il titolare di tali dati1.

Il Data Protection Officer, quindi, risulta essere una figura esperta, un consigliere tecnico-legale con potere esecutivo, che offre all’azienda un’attività di consulenza e di assistenza al fine di supportare la gestione del trattamento dei dati personali, analizzando, valutando e conservando tali dati. 

La figura del Data Protection Officer assume particolare rilevanza se si pensa all’attuale contesto lavorativo caratterizzato da processi automatizzati e informatizzati. Per esempio, in un contesto di marketing, tutti i dati che vengono raccolti tramite siti web - con l’utilizzo dei cookie oppure tramite la compilazione di form per richiedere informazioni - o i dati raccolti con le iscrizioni alle newsletter e ai social network.

Oppure, ancora, si può pensare a quelle aziende che utilizzano servizi cloud: tutti i dati corporate e i dati relativi agli stakeholder vengono conservati su piattaforme online. Ne consegue che una violazione dei dati a causa di un hacker o a causa di un danneggiamento del server, per esempio, può comportare una diffusione incontrollata o una perdita importante di tali dati, con riflessi negativi sulla privacy dei soggetti coinvolti.

Infine, il Data Protection Officer ha assunto una particolare importanza nei processi di riorganizzazione dei sistemi e delle procedure aziendali per essere adattati allo smart working - soprattutto in questo periodo caratterizzato dalla presenza del virus Covid 19.

 

Di cosa si occupa il Data Protection Officer

Il Data Protection Officer si occupa, principalmente, di tutelare i dati personali, adempiendo ai propri doveri in piena autonomia e indipendenza, in assenza di conflitti di interesse e proteggendo la privacy dei soggetti titolari dei dati2.

I suoi compiti più comuni - definiti dall’articolo 39 del GDPR - sono i seguenti:

  • Istruire e guidare il titolare del trattamento, il responsabile del trattamento e i dipendenti che eseguono il trattamento dei dati relativamente agli obblighi previsti dalle normative - europee e nazionali - in materia di privacy; 
  • Verificare che le norme vengano osservate e attuate;
  • Consigliare e assistere il titolare del trattamento e sorvegliarne gli adempimenti;
  • Collaborare con le autorità di controllo; 
  • Essere referente degli interessati al trattamento, in merito a qualunque problema collegato ai propri dati;
  • Supportare continuamente il quotidiano svolgimento dei processi di data protection, tramite appositi incontri di formazione e tool e piattaforme innovative.
 

Data Protection Officer: principali competenze e conoscenze

Per poter diventare Data Protection Officer è necessario possedere una formazione multidisciplinare tecnico-giuridica affiancata da una buona conoscenza dei principali tool per la raccolta dati, per esempio, i social network, le piattaforme di e-commerce e le applicazioni mobile - che permettono di ottenere una serie di dati e di insight. Precisamente, con riferimento alle conoscenze che un Data Protection Officer dovrebbe possedere, si possono elencare i seguenti elementi3:

  • Il requisito più importante per diventare Data Protection Officer è possedere nozioni in materia di diritto e di legislazione, quindi una conoscenza approfondita della normativa - e della prassi comune - in materia di privacy;
  • Un’esauriente conoscenza del settore di riferimento e delle procedure amministrative aziendali - cui andrà ad applicare specificatamente le normative apprese;
  • Una comprensione adeguata delle procedure IT - in quanto oggigiorno la gestione dei dati passa in buona parte attraverso database informatizzati.

In relazione alle competenze, invece, il Data Protection Officer dovrebbe:

  • Possedere capacità manageriali - atte a gestire le attività delle persone che risultano essere coinvolte nel processo di protezione della privacy;
  • Essere un bravo comunicatore - al fine di coinvolgere adeguatamente tutte le persone che dovranno poi adempiere agli obblighi previsti, facendo percepire l’importanza di tali obblighi;
  • Essere formato in materia di risk management - per saper intervenire velocemente e adeguatamente in caso di data breach o di errori umani - per esempio, inserire un destinatario sbagliato in una mail contenente dati sensibili.

Completano il profilo, competenze di analisi dei processi, competenze gestionali e competenze organizzative

Queste conoscenze e competenze multidisciplinari, unite alla tempestività richiesta nella gestione delle violazioni dei dati, fanno sì che il Data Protection Officer si ritrovi a collaborare con altri professionisti esperti in tema di sicurezza informatica, per esempio: il Cyber Security Analyst, l’Ethical hacker, l’ICT Security Manager o il Chief Information Security Officer.

 

Fonti

1. Chi è il Data Protection Officer?, assodpo.it
2. Privacy, il DPO: chi è e come nominarlo, agendadigitale.eu
3. Data Protection Officer (DPO), protezionedatipersonali.it

Benvenuto.