Nel caso di un adeguamento per determinate realtà con una struttura ramificata, potrebbe essere consigliabile, anche se non strettamente obbligatorio, valutare la figura del Consulente per la Protezione dei Dati, CPD.
Il Consulente per la Protezione dei Dati, il CPD, è la figura analoga al Data Protection Officer (DPO), che troviamo nel GDPR, seppur con qualche diversità. Va ricordato che la normativa non prevede l’obbligatorietà di questa figura, per i Titolari di Trattamento privati (le Autorità Federali sono costrette) a differenza di quanto impone il Regolamento Europeo.
Ai sensi dell’art 9 della nuova legge LPD, i compiti che spettano al CPD sono i seguenti:
- fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati;
- partecipare alla applicazione delle disposizioni sulla protezione dei dati.
Per il Consulente è dunque fondamentale essere inserito all’interno dei processi aziendali in modo tale da poter rilevare qualsivoglia criticità e avvisare il direttivo delle eventuali problematiche di alcuni Trattamenti. Egli può, ma non è necessario, essere legato all’organizzazione aziendale tramite un contratto di lavoro. In ogni caso non deve avere conflitti di interessi con la direzione aziendale e svolgere attività inconciliabili con il suo ruolo.
Si richiede che egli abbia competenze tecnologiche, per poter al meglio intercettare le difficoltà che potrebbero sorgere, conoscenze del flusso aziendale, per potersi destreggiare all’interno del funzionamento dell’azienda, e conoscenze giuridiche, per poter comprendere la normativa in questione e aiutare l’azienda nei vari Trattamenti.
Egli non ha come scopo ultimo quello di far approvare ogni attività, ma in caso di divergenze con la direzione deve potersi esprimere liberamente al fine di rendere edotto il Titolare sulle eventuali problematiche del trattamento in questione.
In caso di valutazione d’impatto ad alto rischio il Titolare del Trattamento ha la possibilità di chiedere un parere all’Incaricato Federale. Nel caso la procedura abbia dei tempi lunghi e il Titolare ne abbia la possibilità, egli può consultare il Consulente per la Protezione dei Dati rinunciando così a consultare l’Incaricato Federale.
In ultima analisi va ricordato che il Consulente per la Protezione dei dati è una figura strategica, che instaura e intrattiene rapporti costanti e correnti con le autorità, oltre ad essere l’anello di congiunzione tra l’azienda e l’Incaricato Federale agevolando la comunicazione anche in caso di eventuali incidenti.