Guida sul ruolo dei Responsabili della Protezione dei Dati (DPO)

Guida sul ruolo dei Responsabili della Protezione dei Dati (DPO)

Il profilo professionale del data protection officer -DPO: leggiamo insieme una nuova preziosa linea guida, emessa dal supervisore per chiarire funzioni, posizione e responsabilità dei DPO all’interno delle istituzioni dell’Unione europea.

Più volte in questo bollettino ci siamo occupati della  professionalità del DPO: è un argomento importantissimo, che purtroppo molti titolari del trattamento non hanno ancora correttamente inquadrato. Spesso il prezzo della consulenza è l’elemento fondamentale di valutazione della professionalità del consulente: da oggi esiste una preziosa guida, che offriamo ai nostri lettori.

Il data protection officer svolge un uomo fondamentale nel consigliare il titolare del trattamento sulle attività da svolgere e gli interventi da effettuare, in riferimento alla sicurezza del trattamento dei dati personali. Perlopiù questo soggetto è un soggetto esterno, ad esempio un avvocato, che per questo solo fatto si ritiene abbia competenze specifiche. In realtà il DPO deve avere competenze legali ed anche competenze informatiche, soprattutto quando occorre mettere in sicurezza grandi sistemi informativi, che trattano dati critici.

La situazione è piuttosto critica non solo in Italia, ma in tutta Europa, tant’è vero che il supervisore europeo per la protezione dei dati ha ritenuto opportuno pubblicare uno specifico documento, nel quale vengono amplificate le poche righe, che il regolamento generale europeo dedica a questo profilo professionale, offrendo preziose indicazioni sulle modalità di scelta e sulle competenze che questo soggetto deve avere.

Queste linee guida rappresentano un documento prezioso ed aggiornato, che può aiutare i titolari nella selezione e designazione del DPO, garantendo una appropriata posizione, nell’ambito della struttura del titolare, e chiarendo le responsabilità che devono essere assegnate a questo soggetto.

Di particolare interesse il fatto che un DPO, una volta nominato, non può essere rimosso dall’incarico, se egli non ha espresso il suo consenso. Si tratta di un aspetto fondamentale, che chi scrive spesso ha visto violato, per il semplice fatto che il DPO può essere obbligato a mettere in evidenza al titolare lacune più o meno gravi nel sistema di trattamento dei dati personali, mettendo in difficoltà il titolare stesso. A questo punto il titolare ha due scelte:

• cambiare il DPO,
• attenersi alle sue indicazioni.

Lascio decidere a lettore quale sia la scelta che più spesso viene fatta dal titolare!

La lettura di questo documento mette in evidenza ancora una volta l’importanza critica dell’attività del DPO, nell’ambito del complesso processo di acquisizione, trattamento e custodia di dati personali, anche sensibili. Il fatto che documento sia particolarmente indirizzato alle entità europee, che trattano dati personali, non toglie nulla alla sua importanza anche per una qualsiasi entità, pubblica o privata, che tratti dati personali.

Supervisory Guidance - Role of the Data Protection Officers in EU institutions, bodies, offices and agencies - Guida di Vigilanza sul ruolo dei Responsabili della Protezione dei Dati (DPO) (PDF)

Adalberto Biasiotti

Licenza Creative Commons