Come diventare DPO: la figura del Data Protection Officer
All'interno del nostro corso sulla gestione della privacy negli uffici professionali abbiamo approfondito una tematica con cui ormai ci confrontiamo quotidianamente ovvero il GDPR, venendo sempre più a contatto con quello che è il mondo del trattamento dei dati personali e sensibili che, ai sensi della normativa europea attualmente in vigore, è diventata una realtà sempre più presente in ogni aspetto della nostra vita. Oggi parleremo di una professione nata proprio dall'esigenza posta in essere da questa normativa, ovvero quella di gestire i dati personali all'interno delle aziende o delle pubbliche amministrazioni, in un articolo finalizzato a delineare la figura del DPO. Scopriamo insieme chi è e quali sono i suoi compiti.
Chi è la figura del DPO?
Il significato dell'acronimo DPO è Data Protection Officer, termine che indica il Responsabile della protezione dei dati introdotto dal GDPR, ovvero il General Data Protection Regulation, regolamento europeo introdotto nel 2016 per la tutela della privacy. Si tratta di un profilo professionale che riveste un ruolo molto delicato all'interno delle aziende o delle pubbliche amministrazioni, ovvero fare da punto di incontro tra il Titolare o il responsabile dell'azienda e l'Autorità Garante della Privacy. In ultima analisi, il DPO può essere definito come un consulente tecnico e legale che riveste, altresì, una funzione esecutiva.
Il DPO: quando è obbligatorio?
Precisiamo che il DPO non è una figura sempre necessaria ma, ai sensi del GDPR, la sua nomina è obbligatoria in alcuni casi particolari, ovvero:
- quando il trattamento dati viene svolto da un'autorità o un ente pubblico, fatto salvo per l'esercizio delle funzioni giurisdizionali;
- quando il Titolare o del Responsabile svolgono attività di trattamento che richiedono un monitoraggio regolare e sistematico dei dati degli interessati su larga scala;
- quando il Titolare o il Responsabile svolgono attività di trattamento di dati sensibili o di dati relativi a condanne penali e reati di cui all'articolo 10;
Precisiamo, tuttavia, che nominare un DPO è un'operazione consigliata anche nei casi in cui non vige l'obbligo, ma durante lo svolgimento dell'attività siano individuabili dei rischi per il trattamento dati. In ogni caso, a nominare il DPO devono essere il Titolare o il Responsabile del trattamento, secondo le indicazioni contenute nell'articolo 37 del GDPR.
Chi può fare il DPO?
La figura del Responsabile del Trattamento Dati può essere:
- Interno, quando è scelto tra i dipendenti del Titolare o del Responsabile del trattamento (cosa per lo più frequente nelle Pubbliche Amministrazioni);
- Esterno, nel caso in cui la nomina ricada su un libero professionista (pratica più comune per le aziende).
In ogni caso è opportuno che il soggetto nominato abbia requisiti e capacità tali da assicurare un adeguato svolgimento del ruolo. Nello specifico il DPO deve essere in possesso di:
- conoscenze specialistiche approfondite sul GDPR;
- conoscenze e competenze giuridiche;
- conoscenze e competenze informatiche;
- conoscenze e competenze di risk management;
- competenze analitiche.
Inoltre un buon DPO deve essere facilmente reperibile e, soprattutto, in grado di lavorare sotto pressione e di svolgere tutti i compiti assegnatigli dal GDPR.
Quali compiti sono affidati al DPO?
I compiti e le funzioni attribuibili alla figura del DPO sono indicate dall'articolo 39 del GDPR, il quale afferma che il Responsabile della protezione dei dati deve svolgere "almeno" i seguenti compiti:
- fornire informazioni e consulenza circa gli obblighi del GDPR e delle altre normative in vigore sulla protezione dei dati, sia al Titolare e al Responsabile del trattamento che ai dipendenti che lo eseguono;
- vigilare sull'applicazione delle disposizioni del GDPR e delle altre normative vigenti in materia di privacy e protezione dei dati;
- Sensibilizzare e formare il personale che prende parte al trattamento dei dati e ai relativi controlli;
- fornire un parere su richiesta sulla valutazione di impatto della protezione dei dati e controllarne lo svolgimento;
- Collaborare con l'autorità di controllo e fungere da referente per questioni relative al trattamento dei dati;
- considerare e valutare a dovere tutti i rischi inerenti al trattamento dei dati che possono influenzare lo svolgimento dei suoi compiti.
Come Diventare Data Protection Officer?
Rispondiamo adesso al quesito che, probabilmente, più interessa a molti professionisti ovvero: Come fare a diventare DPO? In primo luogo non esiste alcun albo a cui iscriversi e il Garante della Privacy italiano ha precisato che non esiste nessun attestato specifico né un corso di formazione il cui programma è stabilito per legge. In ogni caso è palese che per ricoprire questo ruolo è necessaria una conoscenza approfondita della normativa sulla privacy e delle procedure organizzative ed amministrative che contraddistinguono il settore di riferimento. Questa conoscenza si può ottenere tramite:
- Percorsi di studi specializzanti;
- Esperienza lavorativa nel settore;
- Corsi dedicati ai Privacy Specialist;
- Master universitari di I e II livello.
Quanto guadagna un Data Protection Officer?
L'ultima domanda a cui risponderemo è relativa allo stipendio di un Data Protection Officer che, vista la delicatezza e la complessità del suo ruolo, in Europa può arrivare a guadagnare un massimo di 100.000€ ogni anno, partendo da cifre minime di 50.000€, con una media di incarichi che si posizionano sui 70.000€ annui.
Negli USA, inoltre, queste cifre crescono maggiormente, con uno stipendio annuale medio che si aggira attorno ai 125.000€ e uno stipendio massimo che in alcuni casi tocca picchi di 300.000€ ogni anno.