GDPR: come scegliere il giusto DPO

di Chiara Basciano

scritto il

Individuare il giusto Data Protection Officer per la propria azienda: pro e contro del DPO interno od esterno.

Dopo l’entrata in vigore del GDPR in materia di tutela della privacy, rivolgersi ad un vero esperto non è solo una necessità ma, nella maggior parte dei casi, un obbligo. Il passo difficile resta però individuare il Data Protection Officer giusto per la propria azienda. Per il DPO, la normativa consente di scegliere tra risorse interne ed esterne. Ci sono vantaggi e svantaggi in entrambi i casi, ma l’importante è capire di cosa si ha veramente bisogno.

=> Adeguamento al GDPR in 10 step

Una risorsa interna ha di certo una padronanza maggiore dell’azienda e delle sue risorse ma rischia di non avere una formazione adeguata. È obbligatorio infatti che si tratti di una persona che abbia un certo percorso professionale, trattandosi di tematiche molto delicate, in cui non ci si possono permettere errori.

La risorsa esterna può essere utile per la preparazione maggiore e per un utilizzo limitato nel tempo, ma presenta problemi a livello logistico. Introdurre una nuova risorsa infatti risulta sempre più complesso e richiede tempi più lunghi.

Una via di mezzo potrebbe essere la soluzione migliore, trovare cioè una persona professionalmente preparata da affiancare ad un comparto di supporto, dividendo i compiti in maniera chiara e costruendo una collaborazione proficua.

=> Comunicazione DPO al Garante Privacy: la procedura online

Funzioni del DPO

(articolo 39 del GDPR)

  • informa e fornisce consulenza all’impresa e ai dipendenti che eseguono il trattamento sugli obblighi derivanti dal presente regolamento e altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorveglia l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri sulla protezione dei dati, delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornisce, su richiesta, un parere sulla valutazione d’impatto sulla protezione dei dati;
  • collabora con le autorità di controllo;
  • è il punto di contatto per l’autorità di controllo per tutte le questioni connesse al trattamento dei dati.

Formazione

Nel ricordare che ad oggi non esistono certificazioni ufficiali che rilascino il titolo di DPO (o RPD che dir si voglia), è comunque essenziale che i Privacy Officer nominati/incaricati dall’azienda siano capaci si svolgere il proprio compito, ossia sorvegliare l’osservanza delle politiche di protezione dei dati personali messe in atto dal titolare del trattamento o e coordinate dal responsabile del trattamento. Oltre che essere un punto di riferimento per gli utenti stessi (che possono rivolgersi alo DPO per ottenere tutti i dettagli del caso),, questa figura dovrebbe esserlo anche per il personale d’azienda, verificando – assieme alle altre figure preposte – che sia messo in atto un piano di formazione privacy con corsi periodici per tutti i dipendenti che in qualche modo trattano dati personali.