Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

DPO: chi è e cosa fa. Come e quando scegliere una figura interna o esterna

pittogramma Zerouno

Guida

DPO: chi è e cosa fa. Come e quando scegliere una figura interna o esterna

28 Nov 2018

di Laura Zanotti

DPO, Data Protection Officer, figura necessaria, ma anche controversa del GDPR. Questo perché identificare un professionista che riassuma in sé competenze legali, tecnologiche e organizzative per ottemperare alla compliance non è affatto scontato. Se la nomina è inidonea, cioè se il DPO nominato non ha competenze sufficienti, può scattare il meccanismo sanzionatorio: fino a 10 milioni di euro o al 2% del fatturato globale annuo dall’ultimo esercizio completato. Ma anche la Compliance può diventare un servizio gestito

DPO o, in italiano, Responsabile della Protezione dei Dati Personali (RPD) è la nuova figura chiave su cui le aziende si stanno interrogando dall’entrata in vigore del GDPR.

Il cambiamento dell’ecosistema giuridico che ruota attorno alla Privacy, infatti, ha nell’obbligatorietà del DPO un significato importante, che triangola tre culture molto diverse: legali, organizzativo/gestionali e tecnologiche. È chiaro a tutti come un professionista di questo tipo abbia un costo molto elevato. È difficile, infatti, che le aziende abbiano il budget per gestire in maniera serena la nomina di un responsabile della protezione dei dati di tale complessità. Per questo motivo è necessario prima fare opportune valutazioni e capire se sia meglio scegliere una risorsa interna oppure affidarsi a un consulente esterno. Oggi anche la Compliance può essere infatti fruita come servizio gestito.

Schema sui cambiamenti apportati dal GDPR nella protezione dei dati
I cambiamenti apportati dal GDPR nella protezione dei dati

DPO: che cos’è

Il DPO, in estrema sintesi è un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati. Il suo incarico? Assicurare una corretta gestione dei dati personali nelle imprese e negli enti pubblici, in modo conforme alle nuove disposizioni legislative.

La sua nomina, secondo la nuova normativa (GDPR – Regolamento UE 2016/679), è obbligatoria per alcuni Titolari e Responsabili del trattamento. Come best practice, la nomina di un DPO è caldamente consigliata in tutti i casi in cui, nell’esercizio delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio della responsabilità, nota anche come accountability). L’attenzione delle organizzazioni al cambiamento dell’ecosistema di rischio a cui sono esposte, legato anche all’aumento di pericolosità che l’innovazione tecnologica porta come contraltare alla gestione delle informazioni, accende i riflettori sul ruolo chiave del DPO.

DPO: cosa fa

L’articolo n°39 del Regolamento stabilisce nel dettaglio quali sono i compiti del DPO, che possono essere ripartiti su 4 filoni:

  1. fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  2. vigilare sull’applicazione del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti;
  3. fornire pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  4. cooperare con il Garante e fungere da punto di contatto con esso per questioni connesse al trattamento, anche nei casi di violazione dei dati personali.

Quando e come viene nominato un DPO

Il DPO viene scelto in base alle sue qualità professionali. Il titolare e il responsabile del trattamento devono considerare la sua preparazione nell’ambito del trattamento dati, sia sul piano teorico che sul piano pratico. Il titolare e il responsabile del trattamento possono nominare un DPO in tre casi:

  1. quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni)
  2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati

A chi spetta designare il DPO

Il DPO deve essere nominato dal titolare o responsabile del trattamento. Sul punto tra l’altro è bene ricordare gli ultimi orientamenti della Corte di Cassazione a Sezioni unite, secondo cui l’organo in cui si esprime la volontà del titolare, in ragione del rapporto di immedesimazione organica con la persona giuridica che rappresenta è il CDA (cfr Cass. SSUU n. 1545/2017) e in relazione al soggetto che deve nominare il DPO anche lo stesso articolo 37 è chiaro nell’affermare che la nomina compete al titolare del trattamento. Le linee guida precisano ulteriormente che il DPO debba riferire al livello di gestione più elevato di un titolare (o anche responsabile del trattamento) e quindi allo stesso CDA, che viene così messo a conoscenza dei consigli e delle raccomandazioni del responsabile della protezione dei dati, che fanno parte della missione di DPO.

DPO: quando serve

Il DPO è la figura che deve essere tempestivamente coinvolta in tutte le questioni che riguardano la protezione dei dati. Il titolare e il responsabile del trattamento sono chiamati a sostenere l’esecuzione dei suoi compiti e a fornirgli tutte le risorse necessarie per adempiere alle sue mansioni. In qualunque caso, il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti.

DPO interno: vantaggi e svantaggi

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento). Nelle realtà organizzative di medie e grandi dimensioni, il DPO potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Il DPO, per altro, può essere selezionato tra i dipendenti del titolare del trattamento. In tutti questi casi il vantaggio, dal punto di vista funzionale, è che, in quanto risorsa interna, la risorsa conosce in maniera dettagliata i processi aziendali.

Nel caso in cui il DPO sia un dipendente dell’autorità pubblica o dell’organismo pubblico, è comunque necessario valutare se il suo ruolo sia compatibile o meno con le mansioni svolte in qualità di dipendente. In questo caso, infatti, è opportuno che sia designato un dirigente, o comunque un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, mantenendo una collaborazione diretta con il vertice dell’organizzazione.

Il titolare del trattamento è tenuto a fornire al DPO le risorse (economiche, strutturali ed organizzative) per assolvere i suoi compiti. Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al DPO oppure se lo stesso necessita di supporti interno o esterni. All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Resta sempre l’obbligo di individuare la persona fisica che riveste il ruolo di Data Protection Officer.

Identificare un DPO competente e capace, con tutti i requisiti in termini di posizione, lingua e competenze da impegnare a tempo pieno non è facile e nemmeno scontato.

Il problema di scegliere come DPO un dipendente interno può comportare delle controindicazioni: svolgendo altre mansioni all’interno dell’azienda, infatti, la risorsa potrebbe incorrere in un possibile conflitto di interessi con quelle proprie dell’altro incarico. Il DPO, in quanto supervisore, deve essere una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali. Ma non solo: difficilmente oggi all’interno di un’azienda si può trovare una figura con i requisiti richiesti dalla normativa (necessari per legge). I requisiti del DPO presuppongono, infatti, una preparazione specialistica, una formazione continua e un’esperienza concreta acquisita sul campo nel corso del tempo, che gli consenta di supportare adeguatamente le organizzazioni nell’ambito del mercato digitale non solo europeo. Non a caso le stime parlano di una domanda di 28mila DPO tra Europa e America e 75mila in tutto il mondo (Fonte: International Association of Privacy Professional – IAAP 2017).

Come avvertono gli esperti da più parti, bisogna fare molta attenzione: i titolari che cercano di aggirare gli oneri legali pensando di rimbalzare la responsabilità del DPO a qualche operatore interno senza guardare troppo alle qualifiche e alle reali competenze devono capire come questa scelta possa in molti casi rivelarsi un autogoal. Il sistema italiano, infatti, non permette di assegnare la responsabilità per cui, sempre e comunque, permane il principio della corresponsabilità. Inoltre, se in caso di verifica emerge come la nomina del DPO sia inidonea scatta il meccanismo sanzionatorio: da 10 milioni di euro o al 2% del fatturato dall’ultimo esercizio completato. Non essendoci al momento una granularità della sanzione, infatti, solo a valle delle prime ispezioni si potrà capire quello che saranno le reali gradualità sanzionatorie e il grado di adeguamento.

DPO esterno: vantaggi e svantaggi

Il GDPR consente alle aziende di assegnare la funzione di DPO a un fornitore esterno: società di servizi informatici, consulenti, studi professionali e via dicendo, possono essere ingaggiati in base a un contratto di servizio, per questo si parla di Compliance As a Service. In pratica l’attività del DPO viene affidata in outsourcing in un modello dove ciò che viene offerto non sono risorse infrastrutturali, potenza di calcolo o storage, ma competenze professionali in una logica di servizio gestito.

L’opzione è particolarmente interessante per le aziende che hanno un’esposizione limitata al GDPR o che non hanno optato per una strategia di organizzazione della privacy a lungo termine.

L’opzione di affiancare al DPO interno un appaltatore che integri le lacune mancanti, per altro, è un buon compromesso. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Del resto, lo stesso Codice precisa che tale figura debba essere individuata tra soggetti che per esperienza, capacità e affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Allo stesso modo, la normativa sancisce che possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

In ogni caso, il vantaggio di affidarsi a un DPO esterno è di delegare la necessità di acquisire conoscenze multidisciplinari necessarie a garantire in piena autonomia l’assistenza necessaria ai Titolari e/o Responsabili del trattamento nella costruzione di adeguati modelli organizzativi animati dai principi fondamentali della privacy by default e della privacy by design, nell’ambito della responsabilità che permea tutta l’attuale normativa europea. Come sottolineano gli esperti, una professionalità così delicata non si può improvvisare. Il DPO, infatti, è davvero un super consulente. Secondo l’art. 37 par. 5, il DPO deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Infografica sui vantaggi di un DPO as a service

Considerati i numerosi compiti e la posizione conferita al DPO dall’art. 38 del GDPR, è ovvio che sia necessario garantire una conoscenza specialistica della materia attraverso percorsi di formazione dedicati che, per altro, vanno verificati con attenzione. Le certificazioni, ad esempio, devono essere validate attentamente per avere la prova provata dell’autenticità ma anche della funzionalità rispetto al ruolo e alle responsabilità del DPO.

Cosa deve fare un’azienda una volta identificato il DPO

Che si tratti di una figura interna o di una realtà esterna, una volta individuato il DPO è necessario:

  1. comunicare il nominato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante);
  2. indicarlo nella nell’informativa fornita agli interessati;
  3. pubblicare il nominativo sul sito web nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente;
  4. comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).
Laura Zanotti
Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

DPO: chi è e cosa fa. Come e quando scegliere una figura interna o esterna

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4