DPO: chi è, cosa fa e come diventarlo

DPO: chi è, cosa fa e come diventarlo

Il DPO – data protection officer – è la figura professionale preposta al controllo e alla verifica dell’attuazione della normativa europea in materia di privacy. Un ruolo sempre più richiesto, in alcuni casi obbligatorio per legge

La normativa sul trattamento dei dati personali ha portato alla nascita di una nuova figura professionale. Quella del DPOdata protection officer, in italiano responsabile della protezione dei dati. Si tratta di una figura, in alcuni casi obbligatoria, che supervisiona dal punto di vista tecnico e legale l’applicazione all’interno dell’azienda (pubblica o privata) del GDPR, il regolamento generale sulla protezione dei dati in vigore in Europa dal 2016. Vediamo dunque chi è il DPO, quali sono i compiti principali di questa figura professionale e come diventare DPO.

Chi è il DPO

Il DPO è un consulente tecnico e legale che da un parte monitora e consiglia l’azienda; dall’altra, svolge un ruolo di intermediazione tra l’organizzazione e l’autorità pubblica in materia, costituendo un punto di contatto tra le due realtà. Ha competenze giuridiche, informatiche, di risk management e di analisi dei processi. È quindi un professionista esperto che affianca un’altra figura prevista dal GDPR, il titolare del trattamento dei dati personali. Si tratta, in altri termini, di un supervisore imparziale, di un garante indipendente necessario considerata la complessità e la delicatezza di questo tema.

Cosa fa il data protection officer

I compiti del DPO sono illustrati chiaramente dal regolamento europeo, all’articolo 39, in base al quale “il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

  1. informare e fornire consulenza al titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento;
  2. sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con l’ autorità di controllo ;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento”.

La sua attività principale consiste quindi nel monitorare, consigliare e mediare. Per l’azienda deve essere non un vincolo, ma un facilitatore. Ovviamente, svolgendo un’attività di sorveglianza, può risultare “puntiglioso”; tuttavia, bisogna ricordare che sta mettendo in pratica la funzione per la quale è stato assunto, della quale oggi non si può fare a meno. A seconda del contesto in cui opera, il DPO deve gestire problematiche legate a diverse giurisdizioni. Il suo ruolo è senz’altro complesso perché inevitabilmente si fa portatore di interessi differenti, spesso opposti. Proprio per questo deve essere indipendente e non avere alcun conflitto di interessi.

I casi in cui il DPO è obbligatorio

L’articolo 37 del GDPR illustra i casi in cui la figura del data protection officer è obbligatoria:

  • sempre nel settore pubblico (ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni),
  • nel settore privato quando il titolare effettua trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala o trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Cosa significa? Nel monitoraggio regolare e sistematico su larga scala si possono includere ad esempio le attività tipiche degli operatori di telecomunicazione che profilano i clienti per finalità di marketing o per erogare servizi. Rientrano nella categoria che prevede l’obbligatorietà del DPO anche tutti quegli enti che gestiscono dati sensibili come ospedali, istituti di credito, assicurazioni e così via. Al di là dell’obbligo di legge, il Garante incentiva in ogni caso la nomina del DPO, vista la complessità della materia di protezione dei dati personali. Ricordando, comunque, che la nomina del DPO non vale di per sé come garanzia del rispetto della normativa in materia di privacy. Non è, insomma, una figura di facciata, un lasciapassare per le aziende, ma deve svolgere un’attività ben visibile e verificabile.

Come diventare DPO

Le prospettive professionali nel campo della tutela della privacy sono sicuramente interessanti: i responsabili del trattamento dei dati personali saranno sempre più richiesti. Ma come diventare DPO? Attualmente, non esiste un percorso specifico o un corso di formazione che rilasci la qualifica di data protection officer. Tuttavia, iniziano a nascere i primi corsi universitari e master ad hoc. Al momento, una formazione in ambito giuridico, affiancata da una specializzazione in campo informatico, offre sicuramente il background più idoneo. Esistono poi corsi mirati sul tema della privacy  che consentono di restare sempre aggiornati su una materia in costante evoluzione.

Come tipologia contrattuale, il DPO può essere un consulente esterno oppure un dipendente dell’azienda. Da ciò dipende anche il suo stipendio. In una grande multinazionale europea, un DPO può arrivare a guadagnare anche 100mila euro all’anno. Per altri incarichi si può invece partire da un minimo di 50mila. Negli Stati Uniti, queste cifre sono invece tendenzialmente più elevate.

Le competenze del data protection officer

Come già spiegato, la conoscenza specialistica delle norme e delle prassi in materia di protezione dei dati è la base su cui poggiano le competenze del DPO. Allo stesso tempo, questo professionista deve avere anche una buona competenza per quanto riguarda la terminologia e le tecniche delle attività IT. Possedere una profonda conoscenza dell’ente per il quale svolge il suo ruolo e delle sue attività. A livello di soft skills, il DPO deve essere in grado di lavorare sotto pressione e con scadenze spesso ravvicinate, possedere ottime doti comunicative e relazionali, oltre che organizzative.

DPO interno o esterno?

Un’azienda che debba o voglia assumere un DPO si troverà di fronte a questa scelta: meglio assumere un data protection officer internamente o in qualità di consulente? Dipende. In qualità di dipendente il DPO ha sicuramente il vantaggio di entrare a far parte del tessuto organizzativo riuscendo così a muoversi più agevolmente e di acquisirne una conoscenza più approfondita. D’altro canto, per la stessa ragione, l’imparzialità necessaria a questo ruolo potrebbe essere un po’ a rischio, trovandosi in una posizione “scomoda”. È chiaro quindi che la funzione  di DPO non può essere affidata a un dipendente che già ricopra un ruolo decisionale al vertice dell’organizzazione.

La presenza di un DPO esterno implica naturalmente vantaggi e svantaggi opposti. Alla grande autonomia e indipendenza corrisponde una conoscenza meno approfondita delle prassi aziendali. In questo caso è bene affiancare al DPO un dipendente che possa introdurlo nella realtà dell’impresa permettendogli di comprenderne a fondo il funzionamento. Una buona idea è quella di costituire un “team DPO” in modo da rendere questa attività più stabile, forte e serena. Ricordando che proprio per assicurare l’autonomia del DPO, l’articolo 38 del GDPR stabilisce che il DPO non debba ricevere alcuna istruzione rispetto all’esecuzione delle sue attività.