Il Gdpr, nuovo Regolamento europeo per la protezione dei dati, entrato in vigore nel maggio 2018, ha previsto l’istituzione di una nuova figura, il Data Protection Officer (DPO), Responsabile della protezione dei dati personali. Quest’ultimo rappresenta un supervisore indipendente, in contatto diretto con il Garante della Privacy, che sarà designato obbligatoriamente soprattutto nel caso in cui il trattamento dei dati è effettuato da un’autorità pubblica.
Secondo la legislazione europea, è concepito come un vero e proprio presidio di legalità, indipendenza ed imparzialità che si pone come punto di riferimento per l’Authority, per l’interessato e per il titolare del trattamento.
Anche in ambito privato il DPO ha un ruolo pervasivo in quanto viene ad essere coinvolto su ogni questione inerente il trattamento dei dati per garantire una protezione della privacy nei confronti dei cittadini ed al contempo tutelare il titolare ed il responsabile del trattamento, dovendo supervisionare tutte le attività riconducibili a quei ruoli.
Secondo il GDPR, ci sono dei casi specifici in cui la designazione è obbligatoria: nel settore pubblico sempre, nel settore privato quando il titolare effettua trattamenti dei dati che comportano il monitoraggio sistematico e regolare su larga scala.
La figura ideata svolge compiti di vigilanza e consulenza, agevolando la coerente attuazione dei principi del GDPR: il DPO è chiamato a svolgere all’interno della realtà aziendale attività analoghe a quelle che il Garante della Privacy svolge a livello nazionale. Alcune delle principali attività di cui si occupa sono: informare e fornire consulenza al titolare del trattamento e al responsabile; sorvegliare l’osservanza della normativa comunitaria; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; cooperare con l’autorità Garante e fungere da punto di contatto con quest’ultima.
Al fine di svolgere questa varietà di mansioni, il soggetto designato deve essere in possesso di adeguate competenze specialistiche e di un certo grado di esperienza nell’industry in cui opera il titolare. Deve anche essere un buon comunicatore, in grado di “contagiare” l’intera organizzazione in cui opera con la consapevolezza in materia di “data protection”.
Riguardo il contesto italiano, con l’arrivo del decreto di adeguamento al GDPR, i diversi tasselli normativi sono stati posizionati nella modalità corretta e le organizzazioni italiane sono quindi chiamate all’attuazione della normativa.
Ad oggi, in Italia sono stati nominati circa 60mila DPO e nel conto vanno inseriti anche quelli designati in fretta nel 2018, con prevedibili conseguenze sotto il profilo professionale.
Secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, circa 6 aziende su 10 sono alle prese con i problemi di conformità alla normativa europea in materia di protezione dei dati. Dalle evidenze dell’Osservatorio emerge come nel 59% delle organizzazioni italiane sia ancora in corso un progetto di adeguamento del GDPR e solo nel 23% dei casi l’allineamento risulti già concluso. Lo stesso studio evidenzia poi che la figura del DPO è già presente formalmente nel 65% delle organizzazioni e che nel 18% dei casi la responsabilità è affidata ad un soggetto esterno.
C’è da considerare, infine, che sulla piattaforma lavorativa Linkedin ci sono innumerevoli proposte di lavoro riguardanti questo ruolo, indice del fatto che, se pur con calma, la figura si sta lentamente diffondendo a macchia d’olio su tutto il territorio.
