di Michele Fabbrini - Il Data Protection Officer, figura introdotta dal GDPR entrato in vigore lo scorso 25 maggio, riveste un ruolo chiave nell'architettura del regolamento europeo.
Leggi anche Gdpr: tutto quello che c'è da sapere
Funzioni interne
Le sue funzioni sono centrali all'interno dell'organizzazione in cui è nominato. In azienda, infatti, il DPO supporta il titolare e il responsabile del trattamento nella corretta applicazione della normativa e verifica mediante audit periodici che le procedure poste in essere siano conformi alla normativa.
A questo proposito, è necessario sottolineare l'importanza delle verifiche tecniche sull'efficienza del sistema di sicurezza informatico. Il Penetration Test, ad oggi utilizzato solo da poche organizzazioni di medio-grandi dimensioni, dovrà da ora in poi esser condotto di prassi in ogni azienda soggetta all'obbligo della nomina del DPO, tramite personale, formato in modo specifico, appartenente alla struttura del responsabile della protezione dei dati.
Rapporti con l'esterno
Ma è verso l'esterno che il DPO esercita un ruolo particolarmente delicato, fungendo da punto di riferimento per le autorità di controllo intervenute in caso di incidente, ovvero di data breach, ma soprattutto per gli "interessati" al trattamento, che sono appunto i "titolari dei dati": utenti, clienti, fornitori, dipendenti etc.
In relazione a quest'ultimo punto, il regolamento stabilisce due adempimenti precisi che il titolare e il responsabile debbono curare. Il primo è disciplinato dall'art.37, comma 7, che recita: "Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo". E' quindi necessaria la pubblicazione del nome e cognome oppure, se non persona fisica, della ragione sociale del DPO, nonché di almeno un indirizzo e-mail ad esso riferibile e dal quale lo stesso possa rispondere alle richieste provenienti dall'esterno.
Il successivo art.38, al comma 4, precisa che: "Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento."
Lo spirito della norma intende fornire a chiunque sia interessato ad avere informazioni circa i dati personali in possesso del titolare, un canale diretto, indipendente, affidabile, possibilmente rapido e di facile utilizzo.
In attesa del decreto di adeguamento della vigente legge italiana al regolamento europeo, previsto non prima di Agosto, è quindi consigliabile l'indicazione chiara ed in evidenza di un indirizzo email appartenente al DPO, se esterno, ovvero avente un dominio immediatamente riconducibile alla propria ragione sociale.
• Foto: 123rf.com