Come diventare Data Protection Officer


Quando si parla di sicurezza e protezione dei dati, è importante sapere chi all’interno di un’azienda ha la responsabilità di vigilare che tutto venga fatto secondo le norme di legge. La figura incaricata si chiama RPD, ovvero responsabile della protezione dei dati, meglio noto in gergo internazionale come Data Protection Officer (DPO). Si tratta di un professionista di ultima generazione che in questo articolo imparerete a conoscere in tutti i suoi ambiti di intervento.

Indice:

  1. Chi è il Data Protection Officer?
  2. Chi può diventare Data Protection Officer?
  3. Quali i compiti del DPO?
  4. Il percorso formativo
  5. Asso DPO, per promuovere il ruolo del DPO

 

  1. DPO, data protection officier, privacy, sicurezza, Labor ProjectChi è il DPO, Data Protection Officer?

Con il termine DPO, Data Protection Officer, si intende un professionista introdotto dal Regolamento generale sulla protezione dei dati e pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 che possiede:

  • competenze giuridiche,
  • informatiche,
  • di risk management
  • di analisi dei processi

Il compito principale è di osservare, valutare e organizzare la gestione del trattamento dei dati personali e di conseguenza la loro protezione all’interno di un’azienda, sia essa privata o pubblica.

  • Il responsabile della protezione dei dati deve essere obbligatoriamente designato in presenza di:
    • trattamento dei dati effettuato da un’autorità pubblica o da un organismo pubblico
    • oppure trattamenti di dati che richiedono il monitoraggio regolare o sistematico degli interessati su larga scala
    • oppure trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
  • Sono pertanto tenuti alla designazione del responsabile della protezione dei dati nella pubblica amministrazione, a mero titolo esemplificativo e non esaustivo:
    • le amministrazioni dello Stato
    • gli enti pubblici, non economici nazionali, regionali e locali
    • le Regioni e gli enti locali
    • le Università
    • le Camere di commercio, industria, artigianato ed agricoltura
    • le aziende del servizio sanitario nazionale
    • le autorità indipendenti
  • Sono pertanto tenuti alla designazione del responsabile della protezione dei dati in un’azienda privata, a mero titolo esemplificativo e non esaustivo:
    • istituti di credito
    • imprese assicurative
    • sistemi di informazione creditizia, società finanziarie
    • società di informazioni commerciali
    • società di revisione contabile
    • società di recupero crediti
    • istituti di vigilanza, partiti e movimenti politici
    • sindacati, caf e patronati
    • società operanti nel settore delle “utilities”(telecomunicazioni, distribuzione di energia elettrica e gas)
    • imprese di somministrazione del lavoro e ricerca del personale
    • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria, quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione
    • società di call center
    • società che forniscono servizi informatici
    • società che erogano servizi televisivi a pagamento

In ogni caso, resta comunque raccomandata dal Garante della privacy, anche alla luce del principio di “accountability” che permea il regolamento, la designazione di tale figura.

Qualora si proceda alla designazione di un DPO su base volontaria, si applicano gli stessi requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i casi di designazione obbligatoria del DPO.  

  1. data protection officer, sicurezza, Labor ProjectChi può diventare Data Protection Officer?

Il DPO può essere una persona fisica, ma anche giuridica, in tal caso è bene che ci sia una sola persona fisica ad occuparsi del rapporto, fungendo da punto di contatto tra gli interessati e l’Autorità Giudiziaria.

Per diventare DPO NON è necessaria alcuna certificazione o abilitazione specifica, ne tanto meno essere iscritti ad albi professionali, mentre è indispensabile  possedere un importante bagaglio tecnico-informatico ed approfondita esperienza (Know how) in materia. E’ indispensabile possedere un ottimo livello di formazione che può essere acquisito seguendo opportuni corsi di formazione.

Per diventare DPO  e al fine di garantire una completa e corretta esecuzione dei propri compiti, è necessario innanzitutto possedere un ottimo livello di formazione – che può essere acquisito seguendo opportuni corsi di formazione – in tema di:

  • privacy,
  • competenze multidisciplinari,
  • conoscenza della normativa, delle metodologie e dei processi ICT per la corretta gestione della sicurezza, inerente al trattamento e alla protezione dei dati personali.

In presenza di un gruppo imprenditoriale, secondo il regolamento UE 2016/679, è possibile nominare un unico responsabile della protezione dei dati personali,

  • purché sia facilmente raggiungibile da ogni stabilimento
  • purché sia in grado di comunicare in modo efficace con gli interessati e con gli organi di controllo.

 Un dipendente del titolare o del responsabile, purché conosca la realtà operativa in cui avvengono i trattamenti dei dati, può ricoprire il ruolo di Data Protection Officer. 

  • Come fare una scelta efficace?
    • Il responsabile della protezione dei dati scelto all’interno dell’azienda dovrà essere nominato mediante uno specifico atto di designazione,
    •  in caso di scelta di un DPO esterno, questo dovrà avere le stesse prerogative e tutele di quello interno e dovrà operare in base ad un contratto di servizi redatto in forma scritta, che dovrà indicare espressamente i compiti attribuiti e le risorse assegnate per il loro svolgimento.
  • Il ruolo del DPO è compatibile con altri incarichi?
    • Sì, a condizione che non sia in conflitto di interessi.
    • In ogni caso è consigliabile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione, o aventi potere decisionale in ordine alla finalità e alle modalità del trattamento, (ad esempio amministratore delegato, membro del consiglio di amministrazione, direttore generale e ancora membro della direzione risorse umane, della direzione marketing, finanziaria, o responsabile IT).
    • In assenza di conflitti di interesse, è da valutare l’eventuale assegnazione dell’incarico ai responsabili delle funzioni di staff (ad esempio il responsabile della funzione legale).
  1. Quali sono i compiti del DPO?

Secondo l’articolo 39 del Regolamento europeo sulla protezione dei dati personali (GDPR), i principali compiti del DPO sono:

  • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento (oltre che ai dipendenti che eseguono il trattamento dei dati).
  • Sorvegliare l’osservanza del regolamento e di altre disposizioni dell’Unione Europea o degli Stati membri, relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali.
  • Sorvegliare che  il personale, che partecipa ai trattamenti e alle connesse attività di controllo, sia sensibilizzato e formato.
  • Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35.
  • Cooperare con l’autorità di controllo
  • Fungere da punto di contatto per l’autorità di controllo su questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva.
  • Effettuare, in caso, consultazioni relative a qualunque altra questione.

Nell’eseguire i propri compiti, il DPO (sia interno che esterno), dovrà ricevere un supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove necessario, di personale. I dati di contatto del responsabile della protezione dei dati designato dovranno essere resi pubblici dal titolare o dal responsabile del trattamento. E’ necessario pubblicare i dati di contatto del DPO e comunicarli al Garante, al quale dovrà essere indicato anche il nominativo del DPO.

 

  1. Data protection officer, sicurezza, privacy, Labor ProjectIl percorso formativo

Non esiste un percorso specifico per la formazione dei Data Protection Officer, ma seguire un percorso di studi specializzante come ad esempio un corso dedicato al  Privacy Specialist o un master DPO e portare avanti  delle sessioni di studio, applicare modelli pratici e analizzare casi studio e rischi aziendali è certamente una strada corretta.

Per la formazione esistono:

  • Corsi online
  • Master universitari di I e II livello
  • Corsi organizzati da enti che erogano servizi di sicurezza informatica
  • Associazioni che si occupano della tematica della Privacy

Il costo di formazione per Data Protection Officer varia tra gli 800 e i 1000 euro per un master di primo livello, da 3000 a 5000 euro per piani di studio più completi con certificazioni quali ISO27001 e Certified Ethical Hacker.

 

  1. Asso DPO, per promuovere il ruolo del DPO

Se si è interessati alla figura del DPO è possibile entrare a far parte di Asso DPO che accompagna le aziende, i consulenti privacy, i titolari ed i responsabili dei trattamenti dei dati nella formazione professionale dei futuri Data Protection Officer.

In che modo?   

  • Un comitato scientifico può essere la risposta giusta
  • Grazie a gruppi di lavoro formati da associati ed esperti che:
    • approfondiscono le tematiche più importanti sulla protezione dei dati,
    • predispongono documenti di sintesi da presentare agli associati attraverso incontri pubblici e seminari realizzati per i soci
  • Con la sottoscrizione di accordi (convenzioni e assicurazioni) con partner che potranno portare utilità agli associati
  •  Workshop dedicati agli associati rappresentano di sicuro uno strumento efficace
  • Con l’organizzazione di un Congresso annuale che riunisca Garanti, associazioni privacy e DPO da tutto il mondo
  • La promozione di percorsi di Alta Formazione con accordi con società di formazione ed Università rappresentano uno strumento importante
  • Con il rilascio dell’attestato di Qualità e di Qualificazione Professionale dei Servizi Prestati e l’inserimento nel Registro Professionale ASSO DPO (legge 4/2013)
  • Con l’Interscambio di esperienze ed idee attraverso il portale assodpo.it o il gruppo LinkedIn di ASSO DPO.

 

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia