Quali sono i compiti del DPO, gli obblighi e le opportunità

22 Aprile 2021 in DPO as a Service

DPO

Per analizzare quali siano i compiti del DPO, è necessario premettere che il regolamento europeo GDPR prevede l’obbligatorietà della nomina per gli enti pubblici e per alcune aziende con particolari caratteristiche. L’obbligo non riguarda invece altre tipologie di imprese, ad esempio quelle che non trattano in misura significativa “categorie particolari di dati” e hanno scarsi contatti diretti con i consumatori, come gran parte delle manifatturiere B2B.

La nomina del DPO come manifestazione di accountability

La nomina del DPO, anche quando non obbligatoria, indica però la misura dell’accountability, uno degli indicatori di conformità al GDPR, come evidenzia una frequente affermazione del Colonnello Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza: “La prima cosa che chiedo arrivando in un’azienda per un’ispezione è di parlare con il DPO”. Il colonnello Menegazzo, pur consapevole che non tutte le aziende hanno l’obbligo di nominare il DPO, in sua assenza, verifica la documentazione sottoscritta dal CdA dell’azienda sulle motivazioni addotte per la non obbligatorietà e sulla scelta di non nominarlo. Questa impostazione indica il sentiment del Garante che vede nella nomina del DPO, anche quando non obbligatoria, una misura organizzativa, sintomo del fatto che l’azienda prende sul serio la privacy.

Quali sono (e quali non sono) i compiti del DPO

Sarebbe però fuorviante considerare la nomina del DPO come un adempimento necessario per offrire un’immagine di raggiunta conformità. E’ dunque utile ricordare i molti compiti del DPO, chiarendo che non deve sostituirsi al titolare nelle decisioni sulle misure di sicurezza da adottare e sulle modalità per il trattamento dati, con il rischio di delegare la responsabilità aziendale di gestione della privacy.
I compiti del DPO riguardano due macro-aree: informazione e consulenza da un lato e sorveglianza dall’altro.
Sul versante informazione e consulenza, uno dei più importanti compiti del DPO è l’impegno di tenere informato il titolare sull’evoluzione della normativa, sulla base di eventuali provvedimenti del Garante o a livello europeo. Può inoltre fornire consulenza su richiesta, nel caso in cui, ad esempio, il titolare intraprenda una nuova iniziativa che coinvolga fornitori esterni o svolga attività anche sporadiche che richiedono il consenso degli interessati. Il DPO può fornire supporto ad altre attività in capo al titolare, come la formazione, che non rientra direttamente fra suoi compiti, collaborando nella definizione del piano di formazione anche con le risorse interne, ed erogare la formazione stessa, se richiesto.
Nell’area di sorveglianza e controllo uno dei compiti del DPO è supportare l’azienda nel definire un piano di audit, individuando quali aree e quali trattamenti richiedono un controllo prioritario; il piano di audit concordato sarà svolto dallo stesso DPO o attraverso risorse interne; sarà in ogni caso fra i compiti del DPO la valutazione dei risultati e la definizione di eventuali lacune da colmare.
Il GDPR, pur non indicandone la modalità, prevede che il DPO debba essere tenuto costantemente informato sulle attività di trattamento dati in azienda e sulle loro evoluzioni, non bastando i controlli periodici per avere il polso costante della situazione. La strada maestra dovrebbe essere definire flussi informativi costanti tra i diversi reparti operativi e il DPO.

Compiti del DPO: non solo obblighi ma opportunità

La necessità di attivare flussi informativi verso il DPO, rappresenta uno stimolo per i responsabili dei dipartimenti, che altrimenti potrebbero essere tentati di rimuovere il tema della privacy. La presenza del DPO che stimola, raccoglie le novità e fornisce le indicazioni sulle necessità di aggiornamento rappresenta invece un’opportunità per indurre i manager a riflettere sulle trasformazioni aziendali che potrebbero avere un impatto sugli adempimenti previsti dal GDPR.
Un’ulteriore opportunità è la possibilità di delegare al DPO la tenuta e l’aggiornamento dei registri dei trattamenti, il documento base a cui deve comunque poter accedere in modo costante, l’unico dei compiti operativi che gli può essere assegnato.
Il DPO può infine svolgere il ruolo di interfaccia verso le autorità di controllo sia in caso di ispezione sia di data breach. Nel secondo caso, pur restando le decisioni in capo al titolare, il DPO non solo va consultato e può fornire un importante supporto, ma potrà essere contattato dal Garante in fase successiva alla notifica inviata dal titolare, per approfondimenti, informazioni o la richiesta di ulteriori adempimenti.
La nomina del DPO può dunque rappresentare, anche per le imprese che non ne hanno l’obbligo, un’opportunità di semplificare e rendere le loro azioni più aderenti allo spirito del GDPR, aumentando la propria accountability.

Gli obblighi del DPO secondo il GDPR 

Svolte le dovute premesse, quali sono, in concreto, gli obblighi minimi che si demandano al DPO? 

La risposta a tale quesito è contenuta nell’art. 39 GDPR, il quale afferma espressamente che il DPO è incaricato almeno dei seguenti compiti

  • informare e fornire consulenza al titolare o al responsabile in merito alle previsioni ed agli obblighi contenuti nel GDPR e nella normativa nazionale applicabile; 
  • formare e sensibilizzare il personale che è coinvolto nei trattamenti di dati personali e nelle attività di controllo; 
  • verificare che le responsabilità all’interno dell’azienda siano correttamente distribuite
  • fornire un parere in merito alla valutazione d’impatto ex art. 35 GDPR e sorvegliarne lo svolgimento; 
  • cooperare con l’Autorità Garante nel caso in cui vengano svolti dei controlli in azienda; 
  • effettuare la consultazione preventiva nei confronti dell’Autorità Garante ai sensi dell’art. 36 GDPR; 
  • fungere da punto di contatto nei confronti dell’interessato. 

Le sanzioni erogate al Titolare se inadempiente 

Nella giurisprudenza nazionale, sono diverse le sanzioni erogate nei confronti di Titolari o Responsabili che, seppur rientranti nelle ipotesi di obbligatorietà della nomina del DPO, non vi hanno provveduto. Ai sensi dell’art. 83 GDPR, in caso di inadempienza degli obblighi ex art. 37-39 GDPR, l’Autorità Garante potrà erogare una sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato totale globale annuo dell’esercizio precedente, se superiore.  

Fra tutti, ha fatto recente scuola la sanzione erogata nei confronti del MISE, per aver provveduto a formalizzare e comunicare all’Autorità Garante la nomina del DPO soltanto nel corso del 2019. La non scusabilità della violazione, nel caso in esame, è dipesa anche dalla copiosa attività di formazione che il Garante della Privacy nazionale ha svolto nei confronti dei soggetti pubblici prima dell’entrata in vigore del GDPR. 

Paolo Calvi – Data Protection Officer presso P4I – Partners4Innovation

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing