Manager, avvocato o informatico? Chi è il Data Protection Officer

di Diana Cavalcoli per Ingegneri.Info

Figura chiave del nuovo regolamento sui dati personali, il DPO è indispensabile in alcune tipologie aziendali ma anche negli studi. Ma quali sono i requisiti e come si nomina il Data Protection Officer?

Nelle aziende che gestiscono enormi quantità di dati diventerà una figura chiave. Eppure oggi è ancora poco conosciuto. Parliamo del Data Protection Officer (DPO), il professionista della privacy chiamato a sovrintendere alla gestione del trattamento dei dati personali in conformità con il GDPR, la nuova normativa europea in vigore dal 25 maggio. Una figura che per legge va inserita all’interno dell’organizzazioni, pubbliche o private, che trattano big data. È il caso degli ospedali, delle compagnie di assicurazione, delle banche, dei fornitori di servizi di telecomunicazioni, degli studi legali ma anche delle società di marketing e delle grandi piattaforme di e-commerce come Alibaba o Amazon.

Il profilo: chi è il DPO?

Non si tratta però di un semplice esperto di informatica ma piuttosto di una figura con competenze trasversali che spaziano dal diritto, alla cybersecurity passando per le capacità manageriali. «Non c’è un bollino che possa sancire l’idoneità a ricoprire il ruolo di data protection officer – scrive Nicola Bernardi, presidente di Federprivacy -. Quello definito dal GDPR è un profilo manageriale di uno spessore troppo elevato per standardizzarne le caratteristiche in modo semplicistico. Ciò che serve principalmente ai professionisti sono le competenze e la conoscenza specialistica della materia». In sostanza il compito del DPO è verificare che il trattamento dei dati effettuato dalle organizzazioni avvenga nel rispetto delle normative privacy europee e nazionali. Per farlo però deve conoscere alla perfezione i meccanismi interni dell’ente o dell’impresa per cui lavora. «Non basta essere dei tecnici per diventare DPO – spiega Marco Trombadore, consulente aziendale, Referente sviluppo associativo Centro sud di AssoDPO ed esperto di privacy – occorrono capacità diversificate per poter permettere ai soggetti che hanno delle ottime basi verticali (IT o Legali) di sviluppare competenze trasversali. Occorre poi ragionare per settori: penso al contesto sanitario ad esempio che richiede conoscenze specifiche legate al tipo di dato trattato e i flussi informativi diversi dal settore Telco».