Perché il data protection officer è un giurista, non un informatico

Il regolamento europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, prevede una nuova figura professionale esperta: il Data Protection Officer (D.P.O.). Questo non è un informatico, né un tecnico, ma un giurista specializzato nella tutela dei dati personali nel settore informatico. Definibile come un vero e proprio ibrido, il D.P.O. unisce competenze informatiche a quelle del diritto vigente, il suo lavoro è quello di informare e di fornire consulenza alle imprese, in materia di tutela della privacy di verificare l’effettiva applicazione del codice della privacy. Fornisce, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati personali a chi intende creare le nuove app che mettono a rischio la sicurezza del cittadino. Il D.P.O. è anche addetto alla sorveglianza vera a e propria di processi e coopera con l’autorità di controllo nazionale fungendo da punto di contatto con il garante della Privacy. La nuova figura di questo professionista necessita di un processo di formazione professionale specifico nel quale il nostro paese non è certo tra i primi. Infatti, pochi sono ad oggi gli enti (riconosciti dal ministero) che svolgono tale importate formazione e tra queste ricordiamo in primis l’ente di formazione Juribit.

La richiesta di D.P.O. che crescerà nel corso degli anni dovrà essere valorizzata dai governi che dovranno sensibilizzare e formare anche per la pubblica amministrazione i processi di formazione in tema di D.P.O. Inoltre è previsto che qualora il Titolare del trattamento o il Responsabile del trattamento sia un’Autorità pubblica o un organismo pubblico possa essere designato un unico Data Protection Officer per più enti pubblici o PA, ovviamente in ragione della loro dimensione e struttura organizzativa. In particolare, il D.P.O può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi. In entrambe le ipotesi, i dati di contatto del D.P.O dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati all’Autorità garante per la protezione dei dati personali.