La figura del DPO
È evidente che per svolgere la sua funzione di consulenza ha necessità di avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo. Tale figura può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Quest’ultimo aspetto per la verità risulta poco conciliabile con le pubbliche amministrazioni per le quali è previsto proprio l’obbligo della nomina del DPO. Difatti la cronica mancanza di fondi renderà davvero difficile per gli enti pubblici esternalizzare la figura del DPO, di conseguenza appare evidente che in un ambito pubblicistico sarà necessario rivolgersi a proprie risorse interne presumibilmente di rango elevato (dirigenti o funzionari) solo previa specifica formazione, davvero indispensabile in tale settore. Altra situazione sarà nel settore privatistico, dove nel rispetto del principio di accountability molte aziende particolarmente esposte dal punto di vista privacy per l’attività svolta ed i dati trattati (basti pensare ad aziende che operano nel mondo bancario, sanitario o delle telecomunicazioni) dovrebbero investire in modo appropriato e consapevole nel campo della protezione dei dati personali assicurandosi la consulenza di professionisti competenti e degni di fiducia con contratti che prevedano un impegno di almeno 4 anni rinnovabili.
Ma quale dovrà essere l’approccio di un DPO una volta assunto da un’azienda o da un ente?
Naturalmente non esistono delle regole uniche poiché è ovvio che ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione. Definizione della struttura di governance (individuazione responsabili per la privacy dei dati, la gestione delle diverse figure soggettive, procedure di segnalazione a fini gestionali); Gestione archivi dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati); Predisposizione policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi); Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy); Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi); Comunicazioni e risposta a richieste e reclami di privati (informazioni e comunicazioni agli individui coerenti con la politica privacy, procedure efficaci per le interazioni con gli individui in materia di dati personali);
Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l’attuazione della Privacy by design); Gestione data breach; Attività di audit best practices.
Il presente contributo è tratto da
Scrivi un commento
Accedi per poter inserire un commento