Chi è il DPO: obblighi e opportunità

14 Ottobre 2020 in DPO as a Service

Chi è il DPO

Vi siete mai chiesti chi è il DPO? Che ruolo e che tipo di responsabilità abbia in azienda? Il Data Protection Officer è previsto dal Regolamento Generale sulla Protezione dei dati (GDPR) e la sua figura è disciplinata perché diventi una realtà per molte organizzazioni. La nomina in alcuni casi deve essere obbligatoria, ma in altri è opportuna sebbene facoltativa. Comunque, la sua designazione non può essere un provvedimento di facciata o di sola compliance normativa.

Chi è il DPO nel GDPR

Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.
Per definire chi è il DPO ne possiamo indicarne le competenze: giuridiche, informatiche, di risk management e di analisi dei processi.
Le responsabilità principali sono legate ad osservazione e valutazione della gestione del trattamento e protezione dei dati personali in azienda nel rispetto delle normative di privacy europee e nazionali.
Il Garante per la protezione dei dati personali ha pubblicato, una scheda informativa dettagliata sugli obblighi e doveri correlati per far capire chi è il DPO.
L’art. 39 del GDPR, elenca la misura minima dei suoi compiti:

a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;

b) verificare l’attuazione e l’applicazione delle norme;

c) se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) cooperare con le autorità di controllo;

e) fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;

f) Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Chi è il DPO nella disciplina dell’Art. 37 fra obblighi e opportunità di nomina

La designazione del DPO e la sua nomina formale sono trattate nell’art. 37 del GDPR che elenca tutte le tipologie di organizzazione per cui la nomina è resa obbligatoria. Per tutte le altre tipologie di organizzazione la scelta e nomina del DPO è facoltativa, ma in realtà resta opportuna. Indipendentemente da chi è il DPO, se interno o esterno all’azienda, una volta nominato, la sua responsabilità è completamente perimetrata.
L’obbligatorietà di nomina scatta se: l’azienda è una amministrazione, ente pubblico o autorità giudiziarie nell’esercizio delle sue funzioni; il soggetto ha come attività principale trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; il soggetto ha per attività principale il trattamento, su larga scala, di dati sensibili, genetici, giudiziari, biometrici e relativi alla salute o alla vita sessuale.

Perché avere un DPO

Tranne i casi in cui l’organizzazione non tratti in senso assoluto dati personali, (sebbene assai improbabile), in tutti gli altri casi l’opportunità di avvalersi o meno di un DPO resta comunque raccomandata, anche alla luce del principio di “accountability”.
Nei casi in cui l’azienda sia in dubbio sulla sua appartenenza alle categorie obbligate alla nomina, la scelta di non avvalersi di un DPO, nel rispetto del principio di responsabilizzazione, deve poter essere attentamente dimostrata, con una analisi che abbia preso in esame i fattori pertinenti e di cui l’organizzazione sappia dimostrare lo svolgimento. Infatti, le diciture di “trattamento su larga scala” e “monitoraggio regolare” non forniscono una misura quantitativa precisa; ma il Gruppo di lavoro Art 29 (costituito al fine di fornire indicazioni utili per la conformità al Regolamento GDPR), raccomanda di tenere conto, in particolare, alcuni fattori: il numero di soggetti espressi in percentuale della popolazione interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata del trattamento e la portata geografica del trattamento.
Secondo le FAQ del Garante devono procedere alla nomina: gli istituti di credito; le imprese assicurative e quasi tutti gli attori del comparto finanziario, gli istituti di vigilanza; i partiti e movimenti politici; i sindacati; i caf e patronati; le società operanti nel settore delle “utilities”, le società’ che trattano dati di lavoratori e ricerca di personale, le società sanitarie di ogni ordine e grado e tipo, i call center, le società di servizi informatici e televisivi. Viceversa, possono esimersi: le società individuali, i singoli professionisti, gli agenti e rappresentanti, le società piccole e micro, quelle familiari e quelle medie imprese, con riferimento ai trattamenti dei dati personali esclusivamente connessi alla gestione corrente dei rapporti con fornitori e dipendenti: anche considerando il Regolamento, in relazione alla definizione di attività “accessoria” (Fonte Portale 231 della compliance).

Il DPO e la tutela dei dati personali in azienda 

Come precedentemente esplicato, il DPO, ai sensi del disposto normativo di cui all’art. 39 GDPR, ha il compito di fornire consulenza specialistica al titolare o al responsabile del trattamento per assicurare l’adeguata tutela dei dati personali trattati e la corretta osservanza del Regolamento. 

A tal fine, il DPO non potrà esimersi dal compiere una periodica valutazione dell’intero sistema produttivo, sia per mezzo di audit interni che per il tramite di colloqui individuali, più o meno informali, con i soggetti appartenenti all’azienda, sotto il profilo tecnico ed organizzativo.  

Ciò consente al DPO di essere pienamente consapevole delle modalità tramite cui si esplica il trattamento dei dati personali raccolti dal titolare o dal responsabile e, conseguentemente, di fornire una consulenza più efficace e pertinente alle specifiche necessità aziendali. 

È per tale ragione che si richiede a tale soggetto anche il possesso di capacità relazionali, in aggiunta alle conoscenze di carattere tecnico specialistico.  

Il DPO quale esperto privacy 

Poiché si demanda al DPO la verifica del rispetto delle normative privacy, sia di carattere europeo (come il GDPR) che nazionale (come il Codice Privacy, ossia il D.Lgs. 196/03, per come riformulato dal D. Lgs. 101/2018), è necessario che lo stesso possegga una conoscenza approfondita, tecnico-giuridica, non solo della normativa ma anche delle linee guida e delle best practices applicabili all’attività presa in esame. 

Concetto, questo, espresso nel considerando 97 del GDPR, che recita: “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. […] Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”. 

I profili di compliance della nomina del DPO 

Il GDPR si occupa di analizzare la compliance anche della nomina del DPO: quest’ultimo, poiché chiamato a verificare la congruità del sistema di gestione dei dati personali, deve svolgere il proprio ruolo secondo criteri di indipendenza e terzietà. 

Sebbene, da un lato, infatti, il GDPR, preveda espressamente, all’art. 37 GDPR, che il DPO possa essere anche un dipendente dell’azienda (“il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”), dall’altro richiede che tale soggetto sia posto nelle condizioni di valutare in modo imparziale le scelte del titolare/responsabile. 

In tal senso, il citato considerando 97 GDPR, afferma chiaramente che, affinché la nomina del DPO possa considerarsi validamente effettuata e non solo di facciata, “Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. 

P4I – Partners4Innovation

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Share