Chi è il DPO: obblighi, opportunità e perchè è importante
14 Aprile 2021 in DPO as a Service
Vi siete mai chiesti chi è il DPO? Che ruolo e che tipo di responsabilità abbia in azienda? Il Data Protection Officer è previsto dal Regolamento Generale sulla Protezione dei dati (GDPR) e la sua figura è disciplinata perché diventi una realtà per molte organizzazioni. La nomina in alcuni casi deve essere obbligatoria, ma in altri è opportuna sebbene facoltativa. Comunque, la sua designazione non può essere un provvedimento di facciata o di sola compliance normativa.
Chi è il DPO nel GDPR
Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.
Per definire chi è il DPO ne possiamo indicarne le competenze: giuridiche, informatiche, di risk management e di analisi dei processi.
Le responsabilità principali sono legate ad osservazione e valutazione della gestione del trattamento e protezione dei dati personali in azienda nel rispetto delle normative di privacy europee e nazionali.
Il Garante per la protezione dei dati personali ha pubblicato, una scheda informativa dettagliata sugli obblighi e doveri correlati per far capire chi è il DPO.
L’art. 39 del GDPR, elenca la misura minima dei suoi compiti:
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;
b) verificare l’attuazione e l’applicazione delle norme;
c) se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
d) cooperare con le autorità di controllo;
e) fungere da punto di contatto, non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti;
f) Considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Chi è il DPO nella disciplina dell’Art. 37 fra obblighi e opportunità di nomina
La designazione del DPO e la sua nomina formale sono trattate nell’art. 37 del GDPR che elenca tutte le tipologie di organizzazione per cui la nomina è resa obbligatoria. Per tutte le altre tipologie di organizzazione la scelta e nomina del DPO è facoltativa, ma in realtà resta opportuna. Indipendentemente da chi è il DPO, se interno o esterno all’azienda, una volta nominato, la sua responsabilità è completamente perimetrata.
L’obbligatorietà di nomina scatta se: l’azienda è una amministrazione, ente pubblico o autorità giudiziarie nell’esercizio delle sue funzioni; il soggetto ha come attività principale trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; il soggetto ha per attività principale il trattamento, su larga scala, di dati sensibili, genetici, giudiziari, biometrici e relativi alla salute o alla vita sessuale.
Perchè avere un DPO
Tranne i casi in cui l’organizzazione non tratti in senso assoluto dati personali, (sebbene assai improbabile), in tutti gli altri casi l’opportunità di avvalersi o meno di un DPO resta comunque raccomandata, anche alla luce del principio di “accountability”.
Nei casi in cui l’azienda sia in dubbio sulla sua appartenenza alle categorie obbligate alla nomina, la scelta di non avvalersi di un DPO, nel rispetto del principio di responsabilizzazione, deve poter essere attentamente dimostrata, con una analisi che abbia preso in esame i fattori pertinenti e di cui l’organizzazione sappia dimostrare lo svolgimento. Infatti, le diciture di “trattamento su larga scala” e “monitoraggio regolare” non forniscono una misura quantitativa precisa; ma il Gruppo di lavoro Art 29 (costituito al fine di fornire indicazioni utili per la conformità al Regolamento GDPR), raccomanda di tenere conto, in particolare, alcuni fattori: il numero di soggetti espressi in percentuale della popolazione interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata del trattamento e la portata geografica del trattamento.
Secondo le FAQ del Garante devono procedere alla nomina: gli istituti di credito; le imprese assicurative e quasi tutti gli attori del comparto finanziario, gli istituti di vigilanza; i partiti e movimenti politici; i sindacati; i caf e patronati; le società operanti nel settore delle “utilities”, le società’ che trattano dati di lavoratori e ricerca di personale, le società sanitarie di ogni ordine e grado e tipo, i call center, le società di servizi informatici e televisivi. Viceversa, possono esimersi: le società individuali, i singoli professionisti, gli agenti e rappresentanti, le società piccole e micro, quelle familiari e quelle medie imprese, con riferimento ai trattamenti dei dati personali esclusivamente connessi alla gestione corrente dei rapporti con fornitori e dipendenti: anche considerando il Regolamento, in relazione alla definizione di attività “accessoria” (Fonte Portale 231 della compliance).
Il DPO e la tutela dei dati personali in azienda
Come precedentemente esplicato, il DPO, ai sensi del disposto normativo di cui all’art. 39 GDPR, ha il compito di fornire consulenza specialistica al titolare o al responsabile del trattamento per assicurare l’adeguata tutela dei dati personali trattati e la corretta osservanza del Regolamento.
A tal fine, il DPO non potrà esimersi dal compiere una periodica valutazione dell’intero sistema produttivo, sia per mezzo di audit interni che per il tramite di colloqui individuali, più o meno informali, con i soggetti appartenenti all’azienda, sotto il profilo tecnico ed organizzativo.
Ciò consente al DPO di essere pienamente consapevole delle modalità tramite cui si esplica il trattamento dei dati personali raccolti dal titolare o dal responsabile e, conseguentemente, di fornire una consulenza più efficace e pertinente alle specifiche necessità aziendali.
È per tale ragione che si richiede a tale soggetto anche il possesso di capacità relazionali, in aggiunta alle conoscenze di carattere tecnico specialistico.
Il DPO quale esperto privacy
Poiché si demanda al DPO la verifica del rispetto delle normative privacy, sia di carattere europeo (come il GDPR) che nazionale (come il Codice Privacy, ossia il D.Lgs. 196/03, per come riformulato dal D. Lgs. 101/2018), è necessario che lo stesso possegga una conoscenza approfondita, tecnico-giuridica, non solo della normativa ma anche delle linee guida e delle best practices applicabili all’attività presa in esame.
Concetto, questo, espresso nel considerando 97 del GDPR, che recita: “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. […] Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.
I profili di compliance della nomina del DPO
Il GDPR si occupa di analizzare la compliance anche della nomina del DPO: quest’ultimo, poiché chiamato a verificare la congruità del sistema di gestione dei dati personali, deve svolgere il proprio ruolo secondo criteri di indipendenza e terzietà.
Sebbene, da un lato, infatti, il GDPR, preveda espressamente, all’art. 37 GDPR, che il DPO possa essere anche un dipendente dell’azienda (“il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”), dall’altro richiede che tale soggetto sia posto nelle condizioni di valutare in modo imparziale le scelte del titolare/responsabile.
In tal senso, il citato considerando 97 GDPR, afferma chiaramente che, affinché la nomina del DPO possa considerarsi validamente effettuata e non solo di facciata, “Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Perché è importante nominare un DPO
Nominare un DPO, anche nelle ipotesi in cui non è obbligatorio, apporta numerosi benefici di varia natura all’organizzazione aziendale e alla sua produttività.
Il DPO, infatti, nella qualità di “consulente” specializzato, pone la propria competenza e le proprie conoscenze a vantaggio esclusivo dell’azienda, aiutando l’imprenditore a perfezionare ogni processo operativo in modo tale da renderlo non solo pienamente conforme ai principi di legge, ma anche alle best practice di settore.
Tramite l’ausilio del DPO l’azienda può quindi creare dei processi di trattamento dati che siano non solo compliant ma anche efficaci ed efficienti, guadagnando valore sia in termini di produttività che in termini di sicurezza e reputazione.
Da ultimo, un’azienda che si dota di un DPO è un’azienda verso la quale il cliente (sia B2B che B2C) ripone mediamente maggiore fiducia, forte della qualità che la presenza di tale figura professionale apporta al prodotto o al servizio fornito.
Quali sono le responsabilità del DPO durante il data breach
Nel caso in cui si verifichi un data breach, il DPO deve essere tempestivamente informato di quanto accaduto. Successivamente, il DPO dovrà:
- in primis, aiutare il titolare o il responsabile a valutare la gravità del breach verificatosi, analizzando numerosi parametri come la natura dei dati oggetto del breach, le categorie di interessati cui i dati appartengono, la quantità di dati coinvolti, e altro;
- in secondo luogo, ove sussistano i presupposti indicati all’art. 33 – 34 GDPR, cooperare con il titolare o il responsabile per notificare l’Autorità Garante e/o gli interessati dell’avvenuta violazione dei dati personali, senza ingiustificato ritardo;
- da ultimo, anche nel caso in cui i presupposti di notifica non sussistano, dovrà cooperare con il titolare o il responsabile al fine di registrare la violazione all’interno di un apposito documento, valutando quali misure di sicurezza implementare per evitare che il breach si verifichi nuovamente.
DPO: quando è obbligatorio nominarlo
Ai sensi dell’art. 37 GDPR, la nomina del DPO è obbligatoria, sia per il titolare che per il responsabile del trattamento, ogni qualvolta si ricada in una delle seguenti fattispecie:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, fatta eccezione per le autorità giurisdizionali, relativamente ai trattamenti connessi all’esercizio delle loro funzioni giurisdizionali;
- le attività principali svolte dal titolare o dal responsabile del trattamento consistono in trattamenti che, sulla base della loro natura, dell’ambito di applicazione e/o delle finalità perseguite, rendono necessario svolgere un monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali svolte dal titolare o dal responsabile del trattamento consistono nel trattamento, sempre su larga scala, di dati cosiddetti particolari, ai sensi dell’art. 9 GDPR, come i dati sullo stato di salute, o di dati relativi a condanne penali e reati, ai sensi dell’art. 10 GDPR.
P4I – Partners4Innovation