Quando si parla del GDPR, non si può non prendere in considerazione le numerose figure che ha introdotto nella quotidianità delle aziende. Tra queste, rientra senza dubbio il DPO (Data Protection Officer). Nel momento in cui lo si nomina, sono diversi gli interrogativi che sorgono. Tra questi, troviamo le domande di chi si chiede quando va nominato il DPO e che caratteristiche deve avere questa figura.
Prendendo spunto da uno degli articoli presenti sul blog di Privacy Lab, vediamo assieme le risposte.
DPO: quando va nominato?
Iniziamo dalle basi, sviscerando la risposta a un interrogativo tra i più frequenti quando si parla di data protection in azienda. La prima cosa da ricordare quando ci si chiede in quali casi va nominato il DPO riguarda il fatto che, in situazioni come quelle degli organismi pubblici e delle autorità, è sempre necessaria la presenza di questa figura. Interessante a tal proposito è sottolineare una problematica di chiarezza: nell’ambito del Regolamento Europeo, fatta eccezione per casi come quelli delle Regioni, dello Stato e delle Province, non si forniscono altri riferimenti.
In molti hanno sottolineato che, con in mano solo le informazioni dell’articolo 37 del GDPR, può essere difficile comprendere se si ha a che fare con un organismo pubblico o privato. Gli esperti di data protection consigliano, per sviscerare la questione appena ricordata, di prendere in considerazione due criteri, ossia la natura giuridica dell’ente su cui ci sta concentrando e l’attività che porta avanti. Proseguendo con l’elenco delle situazioni in cui è necessario nominare un data protection officer, ricordiamo anche i casi in cui un’azienda o un professionista effettua trattamenti dei dati utilizzando strumenti come l’intelligenza artificiale. Non si può non fare riferimento alla necessità di nominare il DPO nei frangenti in cui si trattano dati di natura sensibile, come per esempio quelli sanitari. In queste situazioni, ci si trova davanti a una situazione che si contraddistingue per un livello di rischio non indifferente. Alla luce di ciò, si ha a che fare con l’obbligo di nominare il DPO.
Quando non è necessario
Per dovere di completezza, è il caso di soffermarsi anche sulle situazioni in cui non è necessario nominare il DPO. Quali sono? In questo novero è possibile includere le situazioni dei liberi professionisti che svolgono il proprio lavoro in forma individuale. Lo stesso si può dire per le imprese familiari, ma anche per gli agenti di commercio, i rappresentanti e i mediatori (per quanto riguarda queste ultime tre alternative, è il caso di rammentare che la situazione di chi opera su larga scala rappresenta un’eccezione e richiede la nomina del DPO).
Il caso delle PMI è un po’ più complesso rispetto agli altri. Come mai? Il principale motivo riguarda il fatto che, nelle situazioni in cui l’impresa concretizza trattamenti legati alla gestione corrente, non è obbligatoria la nomina del DPO. Attenzione, però: oggi come oggi, la maggior parte delle piccole e medie imprese dà spazio a delle modalità di trattamento dei dati che espongono gli interessati a rischi non indifferenti, con la necessità di nominare un DPO.
DPO: che caratteristiche deve avere
Come ben sa anche chi non lavora nell’ambito della data protection, il DPO può essere:
- Interno
- Esterno
Che caratteristiche deve avere questa figura? Il Regolamento Europeo sottolinea che, nelle situazioni in cui si opta per la nomina di un DPO interno, si deve fare riferimento a un atto di designazione nel quale devono essere esplicitati chiaramente i compiti che questa figura deve gestire. Un altro aspetto da rammentare nel momento in cui si decide di nominare un DPO interno riguarda il fatto che la suddetta figura deve avere peculiarità dirigenziali o essere un funzionario di alto livello.
Come mai? I motivi sono chiari e semplici: quando si parla della figura del dirigente, è il caso di sottolineare che si contraddistingue per un livello di autonomia fondamentale per concretizzare in maniera corretta i compiti del DPO. Un ulteriore punto da considerare nel momento in cui si parla della nomina del DPO in enti privati riguarda il fatto che il data protection officer non deve ricoprire ruoli nell’ambito del marketing o delle risorse umane. Non può altresì far parte della direzione finanziaria o ricoprire ruoli di responsabilità nel settore IT