DigiLawyer. Data Protection Officer figura strategica per le imprese

Il nuovo “Regolamento europeo per la protezione e libera circolazione dei dati personali” introduce la figura del Data Protection Officer per tutte le imprese pubbliche e per quelle private che svolgono trattamenti potenzialmente in grado – per la natura dei dati o per l’entità del trattamento – di ledere gravemente i diritti degli interessati ed hanno, pertanto, la necessità di essere monitorati da un soggetto che sia indipendente rispetto alle logiche aziendali.

Dovrebbe essere un professionista esterno o, quantomeno, un elemento apicale di staff, dotato delle necessarie competenze giuridiche, per poter interpretare correttamente le norme da applicare, ed anche informatiche, per potersi rapportare adeguatamente con i responsabili dei sistemi informativi. Nel contempo, dovrebbe essere in grado di realizzare una completa analisi dei rischi connessi al trattamento, di valutare le interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione dei dati (come, ad esempio, la L. 231/01), ed avere una preparazione specifica sui sistemi di gestione, per poter seguire un percorso standard che sia successivamente possibile ripercorrere e rielaborare secondo schemi ben definiti, senza dover nuovamente procedere all’analisi dell’intero sistema.

Tra i compiti del Data Protection Officer (da non confondere con il Privacy Officer, che può essere un dipendente ed ha un ruolo meramente esecutivo) spiccano la sorveglianza sull’osservanza del regolamento e delle specifiche prescrizioni delle autorità nazionali e la cooperazione con l’autorità di controllo, da cui deriva la necessità di informare e consigliare il Titolare del trattamento ed i suoi aventi causa sulla eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento.

Si delinea una figura molto simile a quella dell’auditor dei sistemi di gestione della qualità, che ha il compito di monitorare periodicamente, secondo schemi ben definiti, il trattamento dei dati operato all’interno dell’organizzazione sottoposta a controllo. Ed infatti è lo stesso regolamento che, in più punti, suggerisce il ricorso a procedure di valutazione e certificazione che siano ripetibili e quindi fungano da linee guida anche alle autorità preposte al controllo.

Sebbene le sanzioni del Nuovo Regolamento entrino in vigore solo nel 2018, dovendosi ragionevolmente procedere alla valutazione e trasformazione di interi processi e flussi aziendali, è opportuno fin da subito dotarsi di tale figura professionale, sia per consentire al personale di adattarsi al nuovo supervisore e viceversa, sia perché il periodo di vacatio concesso dal Regolamento non è una semplice dilazione temporale (che non avrebbe senso) ma un chiaro invito a non farsi trovare impreparati alla scadenza del 24 maggio 2018, dato che le nuove sanzioni sono decisamente pesanti.

Fonte: Key4biz | di Gianluca Pomante, Avvocato Cassazionista – esperto d’informatica e comunicazione

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL