Con l’entrata in vigore il 26 maggio 2018 del Regolamento Europeo Per La Protezione Dei Dati Personali (2016/679/UE), stipulato da General Data Protection Regulation, le grandi imprese e le Pubbliche Amministrazioni dovranno obbligatoriamente adottare nuovi accorgimenti. In tal senso, la valorizzazione delle informazioni, funge come qualcosa di assolutamente positivo per le aziende stesse, poiché dimostrare di saper proteggere i dati personali degli utenti, influisce positivamente sulla loro brand identity e sulla loro Corporate Social Responsibility, apparendo infatti una azienda più affidabile e responsabile. Inoltre, la corretta gestione e quindi visibilità dei dati, comporta un uso più efficace degli strumenti analitici per l’elaborazione di questi, producendo così migliori processi decisionali e modelli di business, che garantiranno una migliore concorrenza nel mercato. In quest’ottica di rivoluzione e cambiamento, tutte i 28 Paesi membri dell’Unione Europea, e in particolare, le grandi aziende che contano più di 250 dipendenti, gli enti pubblici, le imprese che trattano i dati personali su larga scala (come ad esempio banche o compagnie assicurative), le PA, dovranno obbligatoriamente inserire nel loro organico la figura del “Data Protection Officer”.
Il ruolo del Data Protection Officer è stato definito come una sorta di “poliziotto della privacy”, le cui mansioni specifiche saranno quelle di controllare l’uso dei dati e, ove vi fossero, verificare eventuali lacune, al fine di suggerire l’adozione di misure più idonee, attraverso sistemi IT più sicuri. Ciò che emerge come rilevante è che il DPO che farà parte dell’azienda, in realtà non potrà essere considerato un dipendente di questa, e come tale non potrà ricevere alcuna istruzione dall’organizzazione, né subire alcun tipo di controllo da parte di essa. Infatti, la sua competenza è l’assoluta sorveglianza dell’applicazione delle regole dettate dalla GDPR, attraverso la cooperazione con l’autorità di controllo (GDPR e Garante della Privacy). Non essendo dipendente dell’azienda, ma fungendo piuttosto come controllore di questa, il Data Protection Officer ha l’obbligo di informare le Autorità competenti, in merito a chi in azienda, non rispetta le regole in materia di trattamento dei dati, ovvero su un’eventuale mancata conformità dei sistemi adottati.
Nell’articolo 37 del Regolamento, non sono specificate le qualità professionali per rivestire la figura del Data Protection Order, se non la mera conoscenza in ambito informatico, giuridico, e di analisi del rischio e dei processi. Ciò che però appare evidente, è che la figura in questione deve possedere una comprovata esperienza in materia di legislazione relativa alla protezione dei dati personali, sia nazionale (facendo riferimento all’Autorità Garante della Privacy italiana), che europea (General Data Protection Regulation). Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
