DPO esterno as a service: l’offerta P4I
7 Settembre 2020 in DPO as a Service
Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR – Regolamento Generale sulla Protezione Dati – c’è l’obbligo, per le Organizzazioni che rientrano nei parametri stabiliti dall’art. 37, di designare un Responsabile della protezione dei dati personali (anche conosciuto con la dizione inglese Data Protection Officer – DPO).
Pur non essendo sempre obbligatoria, la designazione del DPO è caldamente consigliata, in virtù della complessità ed articolazione della normativa in materia di protezione dei dati personali e dell’onere, per tutti i tipi di Organizzazione, di adempiere agli stringenti requisiti imposti dal legislatore europeo, nazionale e dall’Autorità Garante per la protezione dei dati personali.
Lo stesso art. 37 GDPR attribuisce la facoltà, al titolare o al responsabile del trattamento, di affidare l’incarico di DPO ad un dipendente dell’Organizzazione ovvero ad un professionista esterno, sulla base di un apposito contratto di servizi.
Come scegliere fra le due alternative?
Per rispondere a tale domanda occorre considerare le competenze specialistiche richieste, dalla normativa e dalla dottrina in materia di protezione dei dati personali, alla figura del DPO:
• possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
• offrire, con grado di professionalità adeguato, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali;
• coadiuvare il titolare nell’adozione di un complesso di misure e garanzie adeguate al contesto in cui è chiamato a operare;
• disporre di risorse necessarie per l’espletamento dei propri compiti.
Risulta pertanto evidente come difficilmente un’Organizzazione, soprattutto di medie-piccole dimensioni, possa disporre internamente di una figura con tali caratteristiche.
L’offerta di P4I-Partners4Innovation
Per far fronte alle sopra descritte esigenze di aziende appartenenti a qualsiasi settore di mercato, Partners4Innovation, società di consulenza milanese, ha strutturato un’area dedicata in grado di fornire un servizio di natura multidisciplinare, offrendo un team di professionisti con competenze in materia legale, tecnica e organizzativa.
Qual è l’obbiettivo del “DPO as service”
Consapevole della complessità della normativa in materia di protezione dei dati personali e della difficoltà per le Organizzazioni di implementare un efficace sistema di gestione dei dati personali, Partners4Innovation ha scelto di offrire un servizio ad ampio spettro.
Il modello di offerta “DPO as a service” prevede infatti di affiancare ai compiti “tipici” della figura del DPO, quelli definiti dall’art. 39 GDPR o delegabili allo stesso sulla base delle Linee Guida europee, denominati “servizi essenziali”, alcune attività di supporto operativo e di gestione continuativa della data protection, che la normativa pone in capo al Titolare e al Responsabile del trattamento (c.d. “servizi di supporto”).
In particolare, i “servizi essenziali” si sostanziano principalmente in attività di controllo interno (auditing), consultive, formative ed informative, relativamente all’applicazione del Regolamento e della normativa nazionale in materia di protezione dei dati personali, oltre che di cooperazione con l’Autorità Garante e con gli interessati al trattamento.
Di notevole importanza, il contributo che il Team DPO può offrire in caso di attività ispettive promosse, nei confronti dell’azienda, dall’Autorità Garante, di richieste di chiarimenti o informazioni da parte della stessa, o in occasione di contestazioni o reclami avanzati dagli interessati.
Per quanto riguarda i “servizi di supporto”, il modello di offerta “DPO as service“ prevede invece l’assistenza all’Organizzazione nella:
• predisposizione, aggiornamento o revisione di documentazione legale (ad esempio informative sul trattamento dei dati, moduli per la richiesta del consenso, atti di designazione interni od esterni, contratti verso terze parti), organizzativa (ad esempio disposizioni interne, norme di autoregolamentazione, linee guida, Modelli organizzativi, procedure operative) o di sicurezza informatica (documenti di analisi del rischio);
• predisposizione e manutenzione dei registri delle attività di trattamento;
• effettuazione delle attività di analisi del rischio e di definizione delle adeguate misure di sicurezza, in ottemperanza a quanto disposto dall’art. 32 GDPR;
• esecuzione di analisi su nuove iniziative o progetti in fase di sviluppo da parte del titolare, in conformità ai principi di privacy by design e privacy by default stabiliti dal Regolamento (art. 25 GDPR);
• esecuzione delle valutazioni di impatto sui trattamenti (c.d. DPIA) ed eventuali consultazioni preventive dell’Autorità Garante, ai sensi degli artt. 35 e 36 GDPR;
• analisi di siti internet e App, dal punto di vista della compliance normativa e della sicurezza informatica;
• erogazione diretta di attività di formazione, sensibilizzazione e affiancamento del personale, nonché effettuazione di assessment sulle competenze in materia privacy;
• preparazione delle aziende ad affrontare le ispezioni dell’Autorità Garante, attraverso approfondite simulazioni.
Al fine di garantire efficacia e soprattutto incrementare progressivamente l’autonomia del cliente nella gestione del complesso impianto costruito, Partners4Innovation mette a disposizione del cliente la piattaforma GRC360, un software che incorpora la metodologia di P4I derivante dai numerosi progetti di adeguamento e servizi DPO svolti presso aziende di qualsiasi settore di mercato ed in grado di:
• gestire in modo maggiormente automatizzato i diversi adempimenti, minimizzando i rischi di non conformità;
• programmare ed eseguire audit, interni o esterni (ad esempio sui fornitori di servizi);
• Conservando e storicizzando in un repository centralizzato tutte le informazioni e i documenti necessari per dimostrare la conformità.
Michele Malagò – Senior Legal Consultant presso P4I – Partners4Innovation