Guida

DPO: chi è e cosa fa. Come e quando scegliere una figura interna o esterna

DPO, Data Protection Officer, figura necessaria, ma anche controversa del GDPR. Questo perché identificare un professionista che riassuma in sé competenze legali, tecnologiche e organizzative per ottemperare alla compliance non è affatto scontato. Se la nomina è inidonea, cioè se il DPO nominato non ha competenze sufficienti, può scattare il meccanismo sanzionatorio: fino a 10 milioni di euro o al 2% del fatturato globale annuo dall’ultimo esercizio completato. Ma anche la compliance può diventare un servizio gestito

Pubblicato il 06 Lug 2022

Immagine che rappresenta un DPO

DPO o, in italiano, Responsabile della Protezione dei Dati Personali (RPD) è la nuova figura chiave individuata nel GDPR. Il cambiamento dell’ecosistema giuridico che ruota attorno alla Privacy, infatti, ha nel DPO obbligatorio un significato importante, che triangola tre culture diverse: legali, organizzativo/gestionali e tecnologiche. È chiaro a tutti come un professionista di questo tipo abbia un costo molto elevato. Per questo motivo è necessario prima fare opportune valutazioni e capire se sia meglio scegliere una risorsa interna oppure affidarsi a un consulente esterno. Oggi anche la compliance può essere infatti fruita come servizio gestito.

Data protection officer: chi è e quando è obbligatorio

Il DPO, in estrema sintesi è un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati. Il suo incarico? Assicurare una corretta gestione dei dati personali nelle imprese e negli enti pubblici, in modo conforme alle nuove disposizioni legislative.

Il DPO è obbligatorio secondo la nuova normativa (GDPR – Regolamento UE 2016/679) per alcuni Titolari e Responsabili del trattamento. Nello specifico, la sua introduzione è obbligatoria se il trattamento dei dati personali è svolto da un’autorità o un ente pubblico, con l’esclusione delle autorità giudiziarie.

L’obbligo vale anche per enti o imprese la cui attività principale consiste nel trattamento sistematico o nel monitoraggio su larga scala dei dati personali. È il caso di utility e telco, per esempio, o di categorie particolari di dati come quelli sanitari e giudiziari. Infine, la nomina del DPO è imposta per legge alle organizzazioni che svolgono attività di profilazione per finalità di marketing.

Quando è caldamente consigliato

Come best practice, la nomina di un DPO è caldamente consigliata in tutti i casi in cui, nell’esercizio delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio della responsabilità, nota anche come accountability). L’attenzione delle organizzazioni al cambiamento dell’ecosistema di rischio a cui sono esposte, legato anche all’aumento di pericolosità che l’innovazione tecnologica porta come contraltare alla gestione delle informazioni, accende i riflettori sul ruolo chiave del DPO.

I requisiti del DPO secondo il GDPR

Nello specifico, secondo quanto fissato nel GDPR, i requisiti che devono caratterizzare un DPO riguardano il possedere una conoscenza dettagliata della legislazione e delle best practice relative alla gestione dei dati personali nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento, oltre al poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali; contano naturalmente anche gli skill informatici.

Al momento non esistono certificazioni specifiche per il data protection officer, vi sono percorsi formativi proposti da privati che possono arricchire il bagaglio di competenze del professionista, che a sua volta può fare riferimento a seminari corsi, letture per upgrade specialistici.

Schema sui cambiamenti apportati dal GDPR nella protezione dei dati
I cambiamenti apportati dal GDPR nella protezione dei dati

DPO compiti: ecco cosa fa, il significato di questa figura

L’articolo n°39 del Regolamento stabilisce nel dettaglio quali sono i compiti del DPO, che possono essere ripartiti su 4 filoni:

  1. fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
  2. vigilare sull’applicazione del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti;
  3. fornire pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  4. cooperare con il Garante e fungere da punto di contatto con esso per questioni connesse al trattamento, anche nei casi di violazione dei dati personali.

Il DPO è tenuto a riferire direttamente ai vertici gerarchici in modo che essi siano a conoscenza delle indicazioni e delle raccomandazioni dal primo fornite nell’esercizio delle sue funzioni di informazione e consulenza. A questo proposito, il Garante suggerisce, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, di designare un dirigente ovvero un funzionario di alta professionalità.

DPO: quando serve

Il DPO è la figura che deve essere tempestivamente coinvolta in tutte le questioni che riguardano la protezione dei dati. Il titolare e il responsabile del trattamento sono chiamati a sostenere l’esecuzione dei suoi compiti e a fornirgli tutte le risorse necessarie per adempiere alle sue mansioni. In qualunque caso, il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti.

Chi nomina il DPO?

Una delle domande più ricorrenti riguardo a questo tema è “chi nomona il DPO?” Il DPO deve essere nominato dal titolare o responsabile del trattamento. Sul punto tra l’altro è bene ricordare gli ultimi orientamenti della Corte di Cassazione a Sezioni unite, secondo cui l’organo in cui si esprime la volontà del titolare, in ragione del rapporto di immedesimazione organica con la persona giuridica che rappresenta è il CDA (cfr Cass. SSUU n. 1545/2017) e in relazione al soggetto che deve nominare il DPO anche lo stesso articolo 37 è chiaro nell’affermare che la nomina compete al titolare del trattamento.

È importante ricordare che la nomina del DPO non è un adempimento formale, il soggetto prescelto deve avere la qualità professionali imposte dall’art. 37 del GDPR che fa particolare riferimento alla conoscenza specialistica che il DPO deve avere.

DPO interno: vantaggi e svantaggi

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un dipendente del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento). Nelle realtà organizzative di medie e grandi dimensioni, il DPO potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Il DPO, per altro, può essere selezionato tra i dipendenti del titolare del trattamento. In tutti questi casi il vantaggio, dal punto di vista funzionale, è che, in quanto risorsa interna, la risorsa conosce in maniera dettagliata i processi aziendali.

Come sceglierlo

Nel caso in cui il DPO sia un dipendente dell’autorità pubblica o dell’organismo pubblico, è comunque necessario valutare se il suo ruolo sia compatibile o meno con le mansioni svolte in qualità di dipendente. In questo caso, infatti, è opportuno che sia designato un dirigente, o comunque un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, mantenendo una collaborazione diretta con il vertice dell’organizzazione.

Il titolare del trattamento è tenuto a fornire al DPO le risorse (economiche, strutturali ed organizzative) per assolvere i suoi compiti. Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al DPO oppure se lo stesso necessita di supporti interno o esterni. All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Resta sempre l’obbligo di individuare la persona fisica che riveste il ruolo di Data Protection Officer.

Identificare un DPO competente e capace, con tutti i requisiti in termini di posizione, lingua e competenze da impegnare a tempo pieno non è facile e nemmeno scontato.

Le controindicazioni

Il problema di scegliere come DPO un dipendente interno può comportare delle controindicazioni. Svolgendo altre mansioni all’interno dell’azienda, infatti, la risorsa potrebbe incorrere in un possibile conflitto di interessi con quelle proprie dell’altro incarico. Il DPO, in quanto supervisore, deve essere una figura indipendente e al di sopra delle parti. Un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali.

Ma non solo: difficilmente oggi all’interno di un’azienda si può trovare una figura con i requisiti richiesti dalla normativa (necessari per legge). I requisiti del DPO presuppongono, infatti, una preparazione specialistica, una formazione continua e un’esperienza concreta acquisita sul campo nel corso del tempo. Un’esperienza che gli consenta di supportare adeguatamente le organizzazioni nell’ambito del mercato digitale internazionale. Non a caso le stime parlano di una domanda di 28mila DPO tra Europa e America e 75mila in tutto il mondo (Fonte: International Association of Privacy Professional – IAAP 2017).

I rischi

Come avvertono gli esperti da più parti, bisogna fare molta attenzione. I titolari che cercano di aggirare gli oneri legali pensando di rimbalzare la responsabilità del DPO a qualche operatore interno senza guardare troppo alle qualifiche e alle reali competenze devono capire come questa scelta possa in molti casi rivelarsi un autogoal. Il sistema italiano, infatti, non permette di assegnare la responsabilità per cui, sempre e comunque, permane il principio della corresponsabilità. Inoltre, se in caso di verifica emerge come la nomina del DPO sia inidonea scatta il meccanismo sanzionatorio. La multa va da 10 milioni di euro o al 2% del fatturato dall’ultimo esercizio completato.

Contratto DPO esterno: vantaggi e svantaggi

Il GDPR consente alle aziende di stipulare un contratto esterno per la funzione di DPO a un fornitore. Fornitore quale: società di servizi informatici, consulenti, studi professionali e via dicendo. Essi possono essere ingaggiati in base a un contratto di servizio, per questo si parla di Compliance As a Service. In pratica, l’attività del DPO viene affidata in outsourcing. E questo, in un modello dove ciò che viene offerto non sono risorse infrastrutturali, potenza di calcolo o storage, ma competenze professionali in una logica di servizio gestito.

L’opzione è particolarmente interessante per le aziende che hanno un’esposizione limitata al GDPR. O per quelle che non hanno optato per una strategia di organizzazione della privacy a lungo termine.

L’opzione di affiancare al DPO interno un appaltatore che integri le lacune mancanti, per altro, è un buon compromesso. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze. E di individuare una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Del resto, lo stesso Codice precisa che tale figura debba essere individuata tra soggetti che per esperienza, capacità e affidabilità. E che fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Allo stesso modo, la normativa sancisce che possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

Focus sulle competenze

In ogni caso, il vantaggio di affidarsi a un DPO esterno è di delegare la necessità di acquisire conoscenze multidisciplinari. Skill necessari a garantire in piena autonomia l’assistenza necessaria ai Titolari e/o Responsabili del trattamento nella costruzione di adeguati modelli organizzativi. Modelli che devono essere animati dai principi fondamentali della privacy by default e della privacy by design, nell’ambito della responsabilità che permea tutta l’attuale normativa europea. Come sottolineano gli esperti, una professionalità così delicata non si può improvvisare.

Il DPO, infatti, è davvero un super consulente. Secondo l’art. 37 par. 5, il DPO deve essere designato in funzione delle qualità professionali. In particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Infografica sui vantaggi di un DPO as a service

Considerati i numerosi compiti e la posizione conferita al DPO dall’art. 38 del GDPR, è ovvio che sia necessario garantire una conoscenza specialistica della materia attraverso percorsi di formazione dedicati. Percorsi che, per altro, vanno verificati con attenzione. Le certificazioni, per esempio, devono essere validate attentamente per avere la prova provata dell’autenticità. Ma anche della funzionalità rispetto al ruolo e alle responsabilità del DPO.

Cosa deve fare un’azienda una volta identificato il Data protection officer

Che si tratti di una figura interna o di una realtà esterna, una volta individuato il DPO è necessario:

  1. comunicare il nominato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante);
  2. indicarlo nella nell’informativa fornita agli interessati;
  3. pubblicare il nominativo sul sito web nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente;
  4. comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).

Covid-19 e situazioni di crisi, il ruolo del DPO

Questo professionista è inevitabilmente coinvolto nella gestione della crisi riconducibile a Covid-19.

Nello specifico, compito del DPO è la protezione dei dati personali. Questo diritto in una situazione di crisi deve essere visto alla luce di un altro diritto fondamentale che è quello della salute.

Cosa fare dunque?

Le indicazioni degli esperti riguardano in primo luogo la necessità del DPO di informarsi circa le azioni che i team di crisi aziendali stanno realizzando. E parallelamente riguardo a quali informazioni personali vengono chieste della istituzioni.

Inoltre, DPO e IT devono confrontarsi in merito a problematiche (dai rischi di data breach, alle procedure di backup) relative a smart working e telelavoro.

D’altra parte, il DPO deve occuparsi di far conoscere in aziende le linee guida adottate nel trattare i dati dei lavoratori in seguito alla crisi.

Passata la situazione di emergenza tutto quel che è stato fatto (per esempio in ambito di smart working) deve essere rivisto. Serve stabilizzare procedure e regole che riguardano iniziative che sono da mantenere e aggiornare l’analisi dei rischi.

Data Governance Act, nel 2022 la figura del DPO diventa ancora più importante

A maggio 2022 il Consiglio Europeo ha approvato il Data Governance Act. Obiettivo del legislatore è stato quello di creare un ambiente sicuro e affidabile per l’uso di dati. E questo è finalizzato ad aumentare la disponibilità di conoscenza, facendo crescere la fiducia rispetto ai servizi di intermediazione.

Vi sono quindi interferenze tra tale documento e il GDPR che, secondo l’atto stesso, però prevale. Certo è che aumenta la responsabilità dei fornitori di servizi. Per esempio, ciò è vero in termini di supporto ai cittadini nell’avere controllo pieno sui dati in modo che li condividano con fiducia.

Potranno servire, dunque per esempio, nuovi tool di gestione dei dati personali così come verranno ulteriormente incoraggiate pratiche di anonimizzazione, generalizzazione, privacy differenziale eccetera. Di riflesso, va accrescendosi l’importanza della figura del DPO che ha tra i suoi compiti, come abbiamo visto, la compliance nel tutelare le informazioni.

In generale, guardando al futuro, opinionisti e consulenti sono dell’idea che il DPO sia una figura sempre più coinvolta nei processi decisionali. E si raccomanda di rendere tale profilo organico, integrato.

Checklist del DPO Cosa monitorare per avere tutto sotto controllo. Scarica la checklist

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4