21 Mag GDPR: la nomina del manager per la privacy
L’imminente entrata in vigore del GDPR, il Regolamento europeo per la Privacy, sta portando con sé una serie di implicazioni tra le quali la nomina di un DPO, il manager per la privacy. Ma quali sono i casi in cui è necessario nominare questa figura? Come sceglierla correttamente? Facciamo chiarezza
Il 25 maggio entrerà in vigore il GDPR, il Regolamento Generale per la Protezione dei Dati. Una delle più importanti conseguenze del nuovo regolamento, riguarda l’introduzione di una nuova figura manageriale, il DPO – Data Protection Officer (Manager per la protezione dei dati).
Il DPO assumerà diverse funzioni in materia di gestione della privacy, diventando così il punto di riferimento per la gestione dei dati personali e la loro sicurezza. Le competenze richieste per questa figura sono un’approfondita conoscenza in materia di legislazione e pratiche relative alla gestione dei dati e delle relative procedure amministrative del settore di riferimento.
La prima cosa da fare, sarà valutare se sia necessario inserire nel proprio organico questa figura. Infatti, è importante specificare che la nomina di un DPO non si rivela obbligatoria se non vi è un monitoraggio costante di dati su larga scala e non si trattano dati sensibili (dati su credo religioso, politico e su orientamento sessuale). Inoltre non è necessaria la nomina del manager nel caso di: “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“, così come previsto dalle indicazioni del Garante per la Protezione dei Dati Personali.
Se invece il trattamento avviene per mano di un organismo o un’autorità pubblica, vi è un monitoraggio costante di dati su larga scala e si trattano dati sensibili, allora sarà necessaria la nomina del DPO.
In merito alla nomina, non vi sono delle indicazioni specifiche ma si raccomanda comunque di non nominare figure del top management o con potere decisionale al fine di evitare confitti di interesse. Il DPO può quindi essere un dipendente interno o un professionista esterno, purché possieda le competenze richieste dal Regolamento della Commissione Europea. Ciò significa che non è richiesto il possesso di un titolo o di una certificazione ma l’effettivo possesso di tali competenze.
Più nello specifico, le competenze richieste dovranno essere di carattere giuridico e amministrativo ma anche specifiche in materia di trattamento dei dati. Il titolare del trattamento dei dati, dunque, potrà tener conto di eventuali titoli, master universitari o partecipazioni a corsi ma avrà l’obbligo di accertare comunque le competenze richieste dal ruolo, in quanto sarà il solo a rispondere di eventuali violazioni del Regolamento. La scelta quindi non potrà basarsi soltanto sui titoli del candidato, in quanto non sono “abilitanti”.
Il titolare, infine, avrà una responsabilità giuridicamente rilevante nella nomina del DPO; dovrà quindi porre particolare attenzione durante tutto il processo che porterà alla designazione del Manager.