Data protection officer, il lavoro digitale più richiesto negli ultimi 4 anni secondo Linkedin. E’ in cima alla classifica dei lavori emergenti stilata da Likedin, ma che funzione svolge esattamente?
Data protection officer
Si tratta dell’esperto di protezione e gestione dei dati. Il responsabile della protezione dei dati è una figura professionale esperta nella protezione dei dati. Come previsto dal regolamento europeo sulla privacy, la figura del DPO è obbligatoria per tutti i 28 Stati dell’Unione europea fin dal 25 maggio 2018.
Il suo compito è valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, all’interno di enti come un’impresa, un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.
Deve possedere una buona esperienza anche in campo di legislazione in relazione a tutto ciò che compete la protezione dei dati personali sia nazionale che europea, le prassi oltre che una approfondita conoscenza del Regolamento. Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
La figura del Data protection officer può essere rivestita da un libero professionista, ma anche da un dipendente incaricato dal responsabile del trattamento. Le aree di intervento sono molteplici ed è quindi necessario affidarsi per la predisposizione dei documenti ad avvocati esperti in materia che possano affiancare titolari e responsabili affinché agiscano conformemente alle norme.
Cosa fa il Data protection officer
Il compito principale del Data Protector Order è di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende (pubbliche o private) affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
I compiti specifici del DPO sono definiti dall’articolo 39 del Regolamento Europeo sulla protezione dei dati personali. Si stabilisce che il data protection officer, nello svolgimento delle sue mansioni, deve:
- Informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
- Fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
- Collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
- Controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
Data protection officer: per quali aziende è obbligatorio?
Ai sensi dell’articolo 37 del Regolamento Europeo la nomina del DPO è obbligatoria quando:
“Venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”.
L’articolo prevede che sussista l’obbligo di nomina del DPO allorquando la core activities del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
La legge lascia comunque spazio all’interpretazione e non è sempre facile definire cosa si intenda con “attività principali” e “su larga scala”. Un tipico esempio è quello della clinica medica: l’attività principale svolta è certamente la cura dei pazienti. Riflettendoci è però facile capire che non è possibile lavorare senza poter trattare i dati sensibili.
Anche definire esattamente ‘larga scala’ non è semplice perché non è possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala.
Tutto ciò mette in evidenza una lacuna della normativa e lascia campo all’interpretazione. Ma allora chi si deve avvalere del DPO?
Le aziende che si avvalgono del DPO
Innanzitutto gli enti locali e chi gestisce big data. Ma anche le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni. In teoria anche gli studi legali perchè alcuni trattano davvero tanti dati personali. Altre categorie sono chi:
- Lavora nel marketing e nel webmarketing,
- Fa profilazione di dati,
- Utilizza landing page,
- Fa DEM professionalmente se il volume dei dati è consistente.
Ricordiamoci inoltre dei grandi e-commerce sicuramente.
Insomma, possiamo concludere che è facilmente comprensibile perché si tratta di una figura in costante crescita. Una professione di cui tener conto nel momento in cui si sceglie in che ambito lavorativo inserirsi.
