Il DPO, acronimo di Data Protection Officer, è la nuova figura professionale, introdotta dal Regolamento 2016/679 (GDPR), a cui è affidata la responsabilità della protezione dei dati in azienda.
Le aziende, titolari del trattamento dei dati, hanno l'obbligo di individuare e nominare il DPO all’interno o all’esterno della propria struttura organizzativa. Che sia interno o esterni il DPO deve avere idonee competenze relative alla conoscenza della normativa in materia di protezione dei dati e conoscere in modo approfondito il GDPR.
L’articolo 37 del GDPR definisce i casi in cui la nomina di un DPO è obbligatoria:
Oltre al DPO è comunque consigliato individuare e formare altre figure nel team di lavoro che garantiscano la piena conoscenza delle attività e delle modalità di trattamento dei dati personali dall’interno di una organizzazione.
Principali attività del DPO
L’art. 39 del GDPR descrive poi i compiti del responsabile della protezione dei dati:
Vantaggi del DPO esterno
Scegliere di affidare esternamente l’incarico di DPO ha sicuramente alcuni vantaggi per l’azienda, primo fra tutti la sicurezza di affidarsi a un professionista competente e opportunamente formato per questo ruolo particolarmente delicato.
Egli sarà poi sicuramente più imparziale e godrà di maggiore autonomia rispetto a un incaricato interno che deve rispondere alla direzione anche per altre mansioni e potrebbe entrare in conflitto d’interessi con essa.
Organismo di Vigilanza
L’organismo di Vigilanza è una componente caratteristica e centrale del Modello organizzativo 231. Nominato dall’organo di governo dell’azienda, per esso svolge un’attività di verifica del modello medesimo, ovvero verifica che il modello sia effettivamente attuato e prevenga adeguatamente i reati presupposti.
Attività dell’Organismo di Vigilanza
L’Organismo di Vigilanza ha il compito di vigilare costantemente sull’osservanza del Modello, sulla sua effettiva efficacia nel prevenire la commissione dei reati, sull’attuazione delle prescrizioni contenute nel modello e infine sul suo aggiornamento, in caso si riscontri la necessità di adeguarlo a delle nuove necessità.
L’Ente non risponde se le persone che hanno commesso il reato hanno agito nell’interesse esclusivo proprio o di terzi.
L’Ente non risponde se prova che (D.Lgs. 231/01, art. 6):