DPO: chi è costui?
Ormai sapete tutti cosa sia il GDPR, e abbiamo già parlato della Privacy by Design e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.
Ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto?
È ora di introdurre un nuovo acronimo: il DPO.
Tradotto suonerebbe circa come l’ufficiale protezione dati. Non so voi, ma di primo acchito io me lo immagino minaccioso come un sergente dei marines, che marcia avanti indietro urlando direttive con mani alla cintura, sguardo truce, e poco incline a fare battutine.
Ma le cose non stanno così: prima di farci prendere dal panico, cerchiamo di capire chi è, cosa fa, e soprattutto quando è necessario averlo in azienda.
Cominciamo col dire che il DPO è un supervisore. È l’anello di congiunzione tra il Garante della privacy e la vostra azienda. È a lui che ci si rivolge, e nel contempo è lui che controlla. In pratica svolge le funzioni di sorveglianza della normativa GDPR, offre consulenza al titolare del trattamento, e, quando richiesto, dà il suo parere. L’assunzione di questa figura è obbligatoria per la pubblica amministrazione. Diverso il discorso per il privato.
Le società che devono coinvolgere un DPO sono quelle che hanno nel loro core business il monitoraggio di dati particolari, come quelli giudiziari, biometrici o della salute, oppure il monitoraggio delle persone. È inoltre suggerito per i concessionari di pubblico servizio, le cosiddette utilities come le società di gestione e fornitori di acqua, gas, ed energia.
Altri esempi di aziende private tenute (o per cui è fortemente consigliato) a designare un DPO sono: società finanziarie, di credito, assicurative, caf e patronati, partiti politici, ospedali privati, laboratori privati, terme, società operanti nelle utilities, call center, etc.
C’è poi un altro aspetto da sottolineare. Oggi che il tema della tutela della privacy e della protezione dei dati personali è diventato di pubblico dominio e gli utenti sono sempre più consapevoli dei loro diritti e delle trappole in cui rischiano di cadere, avere in azienda un DPO è un ulteriore elemento di fiducia e trasparenza per i consumatori che si rivolgono all’azienda.
Detta così, sembra quasi che parliamo di qualche dispositivo medico, ma la questione, riguardo al DPO, non è così banale.
Consideriamo prima di tutto che il nostro supervisore, ora più gentile e collaborativo, necessita di personale, locali, attrezzature e, possibilmente, di una linea di budget: tutti strumenti che gli consentono di svolgere i compiti per i quali è stato chiamato in azienda.
Scartabellando tra i codici del GDPR, l’art 37, par. 6 ci informa che il DPO può essere “un dipendente, oppure assolvere i suoi compiti in base ad un contratto di servizi”, può cioè, essere una persona esterna all’azienda. Elemento che contribuisce anche a fugare qualsiasi conflitto di interessi.
A seguito di una sentenza per un concorso di assunzione per DPO di una Asl piemontese, è stato specificato che anche una persona giuridica, cioè una società, può essere nominata come DPO esterno. Un’azienda permette, tra l’altro, di mettere in rete figure attinenti a diverse discipline – legali, periti, ingegneri, consulenti – per una gestione sicura dei dati personali.
Affidandoti ad AgileDPO, potrai avere a tua disposizione l’esperienza di un team multidisciplinare formata da DPO esperti e certificati.
Se hai domande a proposito della nomina di un DPO, o più in generale, sul mondo della Protezione dei Dati, puoi contattarci tramite e-mail, Facebook o Linkedin oppure semplicemente chiamandoci!
In alternativa se preferisci, puoi anche compilare il nostro Form di contatto!
