Il Data Protection Officer adempie alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse. Infatti, al fine di garantire la protezione dei dati personali trattati dalla società, deve far sì che quest’ultima adotti misure appropriate che vengano aggiornate nel tempo, in modo da rimanere al passo con la continua evoluzione delle minacce alla sicurezza dei dati.
Misure tecniche e organizzative potrebbero essere:
- Backup dei dati: l’utilizzo di un sistema di backup sicuro evita la perdita di dati in caso di guasti hardware o di altri eventi imprevisti, come anche gli attacchi hacker
- Cittografia dei dati: questo metodo consente di proteggere i dati personali durante il trasferimento o l’archiviazione, rendendondoli illeggibili a chi non possiede la chiave di decrittazione
- Controllo degli accessi: può essere fatto attraverso l’implementazione di autorizzazioni di accesso, password sicure e sistemi di autenticazione a più fattori
Un altro importante compito del DPO è quello di cooperare con l’autorità di controllo, ovvero il Garante per la Protezione dei Dati Personali.
In primo luogo, durante l’attività ispettiva, il DPO deve saper verificare che l’autorità stia agendo in modo conforme al regolamento GDPR e che le richieste siano giustificate e proporzionate rispetto alle esigenze di protezione dei dati personali dell’organizzazione. Successivamente deve, quindi, collaborare con il Garante fornendo tutte le informazioni richieste.
Infine, il DPO deve anche agire come intermediario tra l’organizzazione e l’autorità di controllo, in modo da gestire eventuali richieste di azioni correttive o sanzioni. Ha il compito di valutare la gravità dell’eventuale violazione dei dati personali e di collaborare con l’autorità di controllo per definire le azioni da intraprendere per risolvere la situazione.