Il DPO: compiti, nomina e compenso del professionista
Il DPO, Data Protection Officer, è una figura professionale di recente introduzione che ha la responsabilità della supervisione dell’applicazione corretta del Regolamento Generale sulla Protezione dei Dati (GDPR), ovvero di proteggere i dati aziendali. Affianca quindi responsabili e titolari assistendoli nel compito di far rispettare la conformità a regolamenti di condotta, disposizioni e procedure.
Da molti anni le imprese sentivano la necessità e si dotavano di figure con funzioni rivolte alla tutela della privacy. Dal 2018 questo ruolo è riconosciuto ufficialmente ed obbligatorio all’interno di enti, organismi pubblici e in ogni azienda privata.
Analizziamo questa figura professionale con più attenzione.
Caratteristiche e competenze del professionista
Il DPO è dunque il Responsabile della Protezione dei Dati Personali, un consulente sulla privacy tecnico e legale con poteri esecutivi, nello specifico di sorvegliare, informare e garantire che tutto sia gestito in modo corretto e consono alle leggi in vigore. Coopera con l’Autorità Garante, fungendo da mediatore per l’azienda, su tutte le attività riguardanti il trattamento.
A prescindere dalla formazione specifica del singolo, che può essere o più legato alla padronanza giuridica e legale della tutela dei dati personali o all’aspetto delle tecnologie ICT come vedremo in seguito, alcune caratteristiche del DPO sono imprescindibili:
- le competenze professionali richieste sono la tutela della privacy e la conoscenza specialistica delle norme riguardo il trattamento e la protezione dei dati personali;
- la preparazione tecnica e conoscenza specialistica delle leggi a riguardo della gestione dei dati personali e sulle tecnologie di sicurezza informatica;
- attitudini individuali per risolvere diatribe, comunicare, relazionarsi con successo e inventare strategie ottimali per ottenere uno specifico risultato.
Il DPO può essere sia un dipendente sia un libero professionista. In entrambi i casi deve godere di massima autonomia né avere istruzioni su cosa fare o non fare nell’esecuzione del proprio ruolo. Sicuramente il DPO esterno all’azienda o settore in cui opera è avvantaggiato in quanto può farsi aiutare da propri collaboratori scelti. In ambito aziendale ha invece l’onere di convincere il titolare a farsi affiancare da un team, ma ciò non è detto che accada.
Compiti del DPO
Il DPO ha certamente un ruolo più complesso rispetto alla semplificazione generale di compiti sovralencata. Entrando nello specifico, altri aspetti che deve saper sviluppare nell’ambiente in cui lavora sono:
- la creazione di un’ atmosfera lavorativa più consapevole dal punto di vista legale per ciò che concerne la protezione dei dati, informando e sensibilizzando al tema;
- la responsabilizzazione e l’ apertura di un dialogo con i referenti del titolare. Attenzione a non creare tensioni! Purtroppo spesso il DPO rischia penalizzazioni per via di contrasti con dirigenti nel tentativo di far rispettare le norme adeguate;
- la cura della parte gestionale d’informatica e la necessità di far rispettare dal titolare il principio di accountability, ovvero la responsabilità di fare un rendiconto sull’efficienza della gestione sulla regolarità dei conti;
- l’ attenzione a far restare sul piano informale la relazione con il titolare, limitando i rapporti e comunicando tramite documentazioni scritte per poter garantire la tracciabilità degli stessi in caso di insorgenza di problematiche;
- il coinvolgimento totale in tutte le questioni concernenti la protezione dati. Il titolare è infatti obbligato, in base ai comma GDPR a coinvolgere e consultare il DPO in ogni circostanza che lo richieda. Ad esempio quando devono essere prese decisioni a riguardo o in caso di violazioni della protezione dei dati;
- il supporto al dirigente dell’ azienda affinchè conosca e assimili al meglio i rapporti di responsabilità, titolarità e contitolarità in base alle linee guida date dal Comitato Europeo sulla protezione dei dati personali;
- la dotazione di un registro di attività per poter monitorare con attenzione e precisione tutti i trattamenti e ipotizzare le migliori soluzioni.
Nomina e compenso del DPO
Il DPO è nominato dai responsabili del trattamento tramite un atto formale ai sensi dell art. 37 del GDPR mediante un modulo messo a disposizione dall’Autorità Garante, nel quale sono elencati:
- l’ambito operativo e il tempo in cui il ruolo verrà esercitato;
- la piena autonomia nello svolgimento del proprio ruolo;
- la corrispondenza di uno stipendio adeguato.
Alcuni enti ed aziende sono obbligate ad avere all’interno della propria impresa un DPO, altre no, ma non ne è vietata comunque la nomina.
Per le seguenti il DPO è conditio sine qua non:
- autorità giudiziarie, enti pubblici ed amministrazioni;
- aziende private e soggetti la cui primaria attività sono trattamenti di dati sensibili alla salute o giudiziari;
- altro, ovvero attività o singoli che necessitano un monitoraggio di dati costante.
Il compenso del DPO deve essere adeguato al tempo e l’impegno richiesto per svolgere il lavoro. Attenzione! Spesso personaggi senza titolo si offrono per svolgere il compito DPO richiedendo un basso stipendio. L’improvvisazione a un ruolo non di competenza è molto pericolosa e potrebbe recare danni permanenti all’azienda che assume queste figure. Per fare un blando esempio, se il DPO è richiesto in loco per due giorni al mese per un periodo annuale, il budget non può essere inferiore ai 13.000 Euro. Ma è ovviamente tutto relativo.
Il percorso formativo per diventare un professionista
Al momento non esiste ancora un percorso di laurea specifico per intraprendere questa carriera. Esistono però corsi, master e studi post laurea
Per avere una preparazione valida si può scegliere tra:
- Corsi post laurea di specializzazione dopo Giurisprudenza;
- Master universitari di I e II livello;
- Corsi organizzati da enti che erogano servizi di sicurezza informatica.
Il processo di studio sulla privacy e sulle materie complementari è continuo in quanto in costante aggiornamento. Non è sufficiente dunque frequentare un blando corso on line per intraprendere questa carriera.
Ricordati che più hai esperienza più sarai in grado di svolgere questa professione al meglio!