La figura del DPO nel GDPR: per chi è obbligatorio?
Mancano ormai pochi giorni alla scadenza del 25 maggio 2018, data entro la quale tutte le Organizzazioni, siano esse pubbliche o private, che trattano dati personali di un soggetto UE saranno obbligate a conformarsi al Regolamento (UE) 2016/679 del 27 aprile 2016, indipendentemente dal loro stato di appartenenza.
Tale regolamento, più comunemente chiamato GDPR, oltre a delineare un quadro giuridico in materia di protezione dei dati, da un punto di vista organizzativo ha introdotto la figura del Data Protection Officer, professionista interno o esterno all’Organizzazione il cui ruolo è quello di analizzare, valutare e organizzare la gestione del trattamento dei dati personali, ivi comprese le azioni da intraprendere per la loro protezione, nel rispetto delle norme europee e nazionali.
Tale ruolo richiede competenze di natura giuridica, tecnica e organizzativa per cui è lecito domandarsi quali siano le Organizzazioni tenute a coinvolgere una figura di così alto livello. La norma, che non fornisce a riguardo un riscontro chiaro, lascia intendere che tale necessità sia rivolta a quelle Organizzazioni che trattano dati su “larga scala” che potrebbero incidere su un vasto numero di interessati e che per la loro natura potrebbero presentare un rischio elevato.