Quella del Data Protection Officer è una figura professionale piuttosto nuova nel mondo del mercato e, proprio perché sta conoscendo un buon trend di crescita, è in grado di offrire ottime prospettive di lavoro. C’è da dire che, proprio perché si tratta di una figura molto utile, molti grandi enti ed operatori hanno dedicato già da molti anni ingenti risorse per poter svolgere compiti assimilabili al DPO.
Si tratta di una professione che esige di una preparazione specialistica, una formazione piuttosto specifica e la capacità di aggiornarsi costantemente.
Cosa è il DOP?
Le linee guida pubblicate dal Gruppo europeo dei Garanti ex art. 29 ci hanno fornito alcune indicazioni atte a spiegarci cosa sia il DPO.
Nella disciplina prevista dal legislatore europeo, il DPO è un supervisore indipendente. Egli sarà designato obbligatoriamente dai soggetti situati a capo di tutte le pubbliche amministrazioni. Nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Il DPO è dunque una figura professionale che svolge un ruolo fondamentale e fa da filo conduttore tra l’Authority, l’interessato e per il titolare. Nella pratica dei fatti organizza e gestisce il trattamento dei dati divenendo una figura simbolo di legalità, imparzialità e indipendenza.
Cosa fa il data protection officer?
Con l’attuazione del GDPR è entrato in vigore l’obbligo di nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO).
In realtà era una figura già presente nelle organizzazioni più articolate, ma che è ora obbligatoria per tutta la pubblica amministrazione e, in alcuni casi, anche in ambito privato. Si tratta di una figura sempre più richiesta anche quando non obbligatoria perché si è rivelata davvero molto utile. A patto, ovviamente, di rivolgersi a buoni professionisti in grado di padroneggiare i migliori Servizi e Tools in Cloud che permettono di gestire gli adempimenti previsti dal Regolamento Europeo sulla protezione dei Dati Personali, proprio come quelli su PrivacyLab.
La figura ideata dal legislatore europeo deve “svolgere compiti di vigilanza e consulenza agevolando la coerente attuazione dei principi del GDPR”.
Volendo fare un paragone per meglio capire il ruolo del DPO potremmo affermare che è chiamato a svolgere all’interno della singola realtà aziendale compiti simili a quelli svolti dal Garante nazionale e dall’EDPB a livello italiano ed europeo.
Nell’art. 39 del GDPR viene stilata una lista con tutte le attività che il DPO deve svolgere. Si specifica inoltre che il data protection officer svolga i seguenti compiti:
- Tenere informati: il Titolare del trattamento, il Responsabile del trattamento ed i dipendenti che trattano i dati personali;
- Offrire consulenza a titolare del trattamento, dipendenti che trattano i dati personali e al Responsabile del trattamento;
- Vigilare affinché venga osservata la normativa (comunitaria e nazionale) e anche delle politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- Assistere in fase di valutazione d’impatto sulla protezione dei dati;
- Collaborare con l’autorità Garante nazionale; ossia fare da punto di contatto per l’autorità Garante nazionale per questioni collegate al trattamento.
Per chi è obbligatorio il DPO?
Il Regolamento europeo prevede la designazione di un Responsabile protezione dati per autorità e organismi pubblici (anche se non ne fornisce una definizione precisa).
La nomina di un Data protection officer è obbligatoria per le Autorità pubbliche e organismi pubblici. Ma l’art. 37, par. 1, lett. a) del GDPR non specifica però ulteriormente le categorie. Quali sono, dunque, i soggetti pubblici che devono obbligatoriamente designare il DPO?
Il Regolamento UE 2016/679 prevede l’obbligo di designazione del Data Protection Officer in tre specifiche ipotesi:
- quando «il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali». Nessuna disposizione del GDPR fornisce però una definizione di Autorità od organismo pubblico lasciando una lacuna che può portare a dubbi sulla riconduzione di alcuni soggetti (pubblici o privati) in tali categorie. Insomma, non è sempre così semplice capire se sussiste o meno l’obbligatorietà della designazione del DPO, ai sensi della lett. a) dell’art. 37 GDPR.
- Per i soggetti privati, nelle eventualità che «le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala»;
- «nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10».
Come ci si forma per diventare DOP?
Molte aziende, indipendentemente dalla normativa in vigore, scelgono di nominare in DOP perché si rendono conto dell’importanza e dell’utilità di questa figura. Ecco perché è una professione molto richiesta e su cui conviene investire in fase di scelta del percorso di studi.
Quale percorso accademico si deve fare per poter lavorare come DOP? Non è una risposta semplice e lineare. Si tratta infatti di un ruolo che richiede una formazione multidisciplinare che spazia in ambito sia tecnico che giuridico per poter svolgere le diverse mansioni stabilite dal GDPR.
Sicuramente il DPO deve essere esperto dei sistemi dell’informazione, ma anche acquisire competenze gestionali ed organizzative ed avere una buona formazione giuridica.
Analizzando a fondo questa figura noteremo infatti che è, prima di tutto, un legale con competenze giuridiche approfondite del settore in cui opera il suo datore di lavoro. Il DPO, oltre ad essere un esperto in materia di data protection, deve infatti sapersi destreggiare nelle diverse branche del diritto che assumono rilevanza nel corso di uno specifico trattamento.
L’importanza del suo ruolo da giurista è ancor più evidente nel contesto delle Amministrazioni Pubbliche. Ancor più che nel privato sarà indispensabile saper mettere in atto tecnicità e profonda conoscenza delle norme giuridiche. Si pensi, ad esempio, alla questione legata ai bonus erogati dall’INPS a favore di alcuni amministratori pubblici e parlamentari.
Ecco perché un buon DPO pubblico deve sempre conoscere alla perfezione le normative sapendosi destreggiare tra il diritto alla protezione dei dati, la riservatezza e la trasparenza.
In secondo luogo, si rendono necessari un’approfondita conoscenza informatica e una buona capacità di gestione ed organizzazione delle risorse.
L’esperienza sul campo fornirà poi la capacità gestionale e programmatica necessarie ad affrontare crisi o cambiamenti aziendali. Un esempio su tutti? Basta pensare a quante aziende, per far fronte alla pandemia in atto, si sono trovate costrette a predisporre il lavoro da remoto.