Quali sono i compiti del DPO e perché è un’opportunità

22 Giugno 2020 in DPO as a Service

DPO

Per analizzare quali siano i compiti del DPO, è necessario premettere che il regolamento europeo GDPR prevede l’obbligatorietà della nomina per gli enti pubblici e per alcune aziende con particolari caratteristiche. L’obbligo non riguarda invece altre tipologie di imprese, ad esempio quelle che non trattano in misura significativa “categorie particolari di dati” e hanno scarsi contatti diretti con i consumatori, come gran parte delle manifatturiere B2B.

La nomina del DPO come manifestazione di accountability

La nomina del DPO, anche quando non obbligatoria, indica però la misura dell’accountability, uno degli indicatori di conformità al GDPR, come evidenzia una frequente affermazione del Colonnello Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza: “La prima cosa che chiedo arrivando in un’azienda per un’ispezione è di parlare con il DPO”. Il colonnello Menegazzo, pur consapevole che non tutte le aziende hanno l’obbligo di nominare il DPO, in sua assenza, verifica la documentazione sottoscritta dal CdA dell’azienda sulle motivazioni addotte per la non obbligatorietà e sulla scelta di non nominarlo. Questa impostazione indica il sentiment del Garante che vede nella nomina del DPO, anche quando non obbligatoria, una misura organizzativa, sintomo del fatto che l’azienda prende sul serio la privacy.

Quali sono (e quali non sono) i compiti del DPO

Sarebbe però fuorviante considerare la nomina del DPO come un adempimento necessario per offrire un’immagine di raggiunta conformità. E’ dunque utile ricordare i molti compiti del DPO, chiarendo che non deve sostituirsi al titolare nelle decisioni sulle misure di sicurezza da adottare e sulle modalità per il trattamento dati, con il rischio di delegare la responsabilità aziendale di gestione della privacy.
I compiti del DPO riguardano due macro-aree: informazione e consulenza da un lato e sorveglianza dall’altro.
Sul versante informazione e consulenza, uno dei più importanti compiti del DPO è l’impegno di tenere informato il titolare sull’evoluzione della normativa, sulla base di eventuali provvedimenti del Garante o a livello europeo. Può inoltre fornire consulenza su richiesta, nel caso in cui, ad esempio, il titolare intraprenda una nuova iniziativa che coinvolga fornitori esterni o svolga attività anche sporadiche che richiedono il consenso degli interessati. Il DPO può fornire supporto ad altre attività in capo al titolare, come la formazione, che non rientra direttamente fra suoi compiti, collaborando nella definizione del piano di formazione anche con le risorse interne, ed erogare la formazione stessa, se richiesto.
Nell’area di sorveglianza e controllo uno dei compiti del DPO è supportare l’azienda nel definire un piano di audit, individuando quali aree e quali trattamenti richiedono un controllo prioritario; il piano di audit concordato sarà svolto dallo stesso DPO o attraverso risorse interne; sarà in ogni caso fra i compiti del DPO la valutazione dei risultati e la definizione di eventuali lacune da colmare.
Il GDPR, pur non indicandone la modalità, prevede che il DPO debba essere tenuto costantemente informato sulle attività di trattamento dati in azienda e sulle loro evoluzioni, non bastando i controlli periodici per avere il polso costante della situazione. La strada maestra dovrebbe essere definire flussi informativi costanti tra i diversi reparti operativi e il DPO.

Compiti del DPO: non solo obblighi ma opportunità

La necessità di attivare flussi informativi verso il DPO, rappresenta uno stimolo per i responsabili dei dipartimenti, che altrimenti potrebbero essere tentati di rimuovere il tema della privacy. La presenza del DPO che stimola, raccoglie le novità e fornisce le indicazioni sulle necessità di aggiornamento rappresenta invece un’opportunità per indurre i manager a riflettere sulle trasformazioni aziendali che potrebbero avere un impatto sugli adempimenti previsti dal GDPR.
Un’ulteriore opportunità è la possibilità di delegare al DPO la tenuta e l’aggiornamento dei registri dei trattamenti, il documento base a cui deve comunque poter accedere in modo costante, l’unico dei compiti operativi che gli può essere assegnato.
Il DPO può infine svolgere il ruolo di interfaccia verso le autorità di controllo sia in caso di ispezione sia di data breach. Nel secondo caso, pur restando le decisioni in capo al titolare, il DPO non solo va consultato e può fornire un importante supporto, ma potrà essere contattato dal Garante in fase successiva alla notifica inviata dal titolare, per approfondimenti, informazioni o la richiesta di ulteriori adempimenti.
La nomina del DPO può dunque rappresentare, anche per le imprese che non ne hanno l’obbligo, un’opportunità di semplificare e rendere le loro azioni più aderenti allo spirito del GDPR, aumentando la propria accountability.

Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Share