Il poliziotto della privacy obbligatorio dal 2018

Una nuova figura professionale di cui le aziende dovranno a breve dotarsi: il Data Protection Officer. Chi è e quali responsabilità avrà in azienda e perché molte imprese saranno obbligate ad averne uno?

La figura del DPO sarà obbligatoria per tutti i 28 Stati UE dal 25 maggio 2018: la richiede il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR.

Ecco cosa cambierà per le aziende in tema di sicurezza e di gestione dei dati.

Il nuovo Regolamento comporta parecchi cambiamenti organizzativi, con l'adozione e l'implementazione di un vero e proprio sistema di gestione dei dati personali: tale sistema dovrà tenere conto di alcuni nuovi principi quali, ad esempio, il diritto all'oblio o la nuova figura del Data Protection Officer.

Tuttavia, va osservato che i nuovi adempimenti riguarderanno in massima parte soltanto le organizzazioni con più di 250 dipendenti, oppure aziende che trattano dati sensibili, quali quelli, ad esempio, relativi allo stato di salute. Per tutte le altre, l'impatto sarà relativamente "indolore".

Sarà obbligatorio inserire in organico il manager della data protection per tre categorie di soggetti: gli enti pubblici, i soggetti che trattano dati personali su larga scala, come per esempio banche o compagnie assicurative, e i titolari che effettuano un "monitoraggio regolare e sistematico" dei dati, per esempio le società che gestiscono le carte di fidelizzazione.

Il Data Protection Officer di fatto, avrà solo funzioni di puro controllo ma, qualora ravvisi delle potenziali carenze in quelli adottati dall'organizzazione, potrà suggerire l'adozione di misure di "mitigazione del rischio" come, ad esempio, sistemi IT più sicuri.

"Curiosamente, non risponderà all'organizzazione stessa: essendo chiamato a tutelare gli interessi dei soggetti i cui dati vengono trattati dall'organizzazione (e non quelli dell'organizzazione stessa) è una sorta di "poliziotto" della privacy. Per questo non potrà ricevere alcuna istruzione dall'organizzazione, né subire alcun tipo di controllo da parte di essa", chiarisce Corrado Dati di SB Italia.

La norma non pone requisiti particolarmente rigidi per ricoprire l'incarico: infatti esso può essere svolto, salvo situazioni di incompatibilità derivanti da problemi di conflitto d'interessi, anche da soggetti interni all'impresa.

L'unico requisito fondamentale riguarda la "conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati". Con questo s'intende, generalmente, una buona conoscenza della normativa primaria, cioè le leggi, nazionali ed europee, gli eventuali provvedimenti del Garante della Privacy, nonché una discreta familiarità con le tecnologie informatiche e le misure di sicurezza in materia di trattamento dei dati. Chi non la possiede e intende ricoprire tale incarico, ovviamente, dovrà essere formato ad hoc.

Al DPO compete la sorveglianza dell'osservanza delle regole, la cooperazione con l'autorità di controllo e ha l'obbligo di informare chi, in azienda, gestisce il trattamento dei dati su una eventuale non conformità dei sistemi adottati.

Questo è il punto che desta maggiori perplessità della normativa: può una figura del genere, con tutti gli obblighi di subordinazione previsti dalla legge, essere davvero in una posizione di assoluta indipendenza nel proprio giudizio verso l'azienda di cui è dipendente?