Ecco come il Data Protection Officer aiuta le imprese a tutelare i nostri dati personali

​La figura del Data Protection Officer (“DPO”) o Responsabile della protezione dei dati rappresenta una delle principali novità introdotte dal Regolamento (UE) 2016/679 (“GDPR”) a partire dal 2018 e costituisce uno degli elementi chiave per assicurare una governance adeguata dei sistemi aziendali per la protezione dati personali. 

Il DPO deve essere individuato in funzione della sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, delle sue qualità professionali, della sua capacità di assolvere i propri compiti, nonché della sua posizione di autonomia e indipendenza, potendo svolgere anche altri compiti e funzioni a condizione che sia assicurata l’assenza di conflitto di interessi.

Il Data Protection Officer è chiamato ad assolvere, all’interno delle realtà in cui svolge la propria attività, un ruolo imprescindibile per assicurare la correttezza e la conformità dei trattamenti dei dati personali - realizzati dalle richiamate realtà aziendali, pubbliche o private - rispetto alle previsioni del Regolamento (UE) 2016/679 e, in generale, di tutta la vigente normativa in materia di protezione dei dati personali. Le organizzazioni private e la Pubblica Amministrazione - al ricorrere di specifici presupposti richiamati nel seguito - devono dotarsi di un DPO, il cui principale compito è quello di informare e fornire consulenza al titolare (o al responsabile) del trattamento dei dati, nonché ai dipendenti che svolgono i trattamenti: ciò con l’obiettivo di implementare un adeguato sistema aziendale per la protezione dati personali e che i trattamenti di dati svolti siano conformi alle previsioni normative.

Al Data Protection Officer è richiesto, inoltre, di sorvegliare l’osservanza della normativa privacy, europea e nazionale, nonché delle politiche interne adottate dal titolare (o dal responsabile) relativamente alla protezione dei dati personali, comprese le attribuzioni dei ruoli e delle responsabilità.

Il Responsabile della protezione dei dati ha anche il compito di sensibilizzare il personale dipendente che partecipa ai trattamenti e alle connesse attività di controllo, principalmente tramite una formazione da svolgere nel continuo. Inoltre, il DPO fornisce un parere in merito alla valutazione d'impatto sulla protezione dei dati e coopera con l'autorità di controllo, fungendo da punto di contatto nei rapporti con quest’ultima.

L’articolo 37 del GDPR stabilisce, tra l’altro, i presupposti che rendono la designazione del DPO obbligatoria:

È previsto che un gruppo imprenditoriale possa nominare un unico Responsabile della protezione dei dati, a condizione che lo stesso sia facilmente raggiungibile da ciascuno stabilimento. Per le autorità o gli organismi pubblici, la normativa prevede la possibilità di designare un unico Responsabile della protezione dei dati per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Il GDPR dispone inoltre la necessità per il titolare (o il responsabile) del trattamento di pubblicare i dati di contatto del Data Protection Officer e di comunicarli all'autorità di controllo.

In sintesi, il DPO è chiamato a fornire consulenza specialistica, tecnica e legale, al titolare del trattamento o al responsabile e al personale dipendente affinché acquisiscano e tengano in considerazione nell’operatività quotidiana tutti gli elementi necessari a garantire il rispetto del Regolamento (UE) 2016/679 e di tutta la vigente normativa privacy, quando sono raccolti, trattati e conservati dati personali. È quindi opportuno che il DPO sia coinvolto su ogni questione e tematica riguardante la protezione dei dati personali affinché siano messe in atto, prima di avviare i trattamenti, misure tecniche e organizzative adeguate per garantire che i medesimi trattamenti di dati personali effettuati non siano lesivi dei diritti e delle libertà delle persone fisiche. 

In Italia, a seguito dell’entrata in vigore del GDPR, si stima che a fine 2020 siano stati individuati circa 60.000 Responsabili della protezione dei dati. Per garantire la conformità al GDPR, tenuto conto del ruolo primario che la tutela della privacy degli interessati (ad esempio, clienti, prospect, dipendenti) riveste all’interno del Gruppo Unipol, già prima del 25 maggio 2018, è stato avviato un progetto di adeguamento funzionale ad implementare i nuovi istituti normativi: tali progettualità hanno previsto, tra l’altro, l’istituzione della figura del DPO che si avvale, nell’operatività quotidiana, di collaboratori costantemente aggiornati e competenti che lo supportano nei compiti ad esso affidati. È previsto che ciascun interessato possa sempre richiedere chiarimenti in merito al trattamento dei propri dati personali, nonché esercitare i diritti previsti dal Regolamento (UE) 2016/679 rivolgendosi al DPO, i cui dati di contatto sono sempre reperibili sui siti interne delle società del Gruppo Unipol e nella modulistica privacy rilasciata agli interessati.

Per quanto riguarda UnipolTech, la società adotta e aggiorna nel continuo gli standard di protezione più elevati, tempo per tempo disponibili, per la tutela dei dati personali di terzi, clienti, prospect, dipendenti e collaboratori, implementando sin dal principio tutte le misure necessarie per garantire la riservatezza e la sicurezza. Al seguente link​ è disponibile la Privacy Policy di UnipolTech.