Data Protection Officer: perchè conviene l’outsourcing in 10 punti
6 Luglio 2020 in DPO as a Service
Il Data Protection Officer (DPO) è la figura individuata nel GDPR (Regolamento generale sulla protezione dei dati 2016/679) a tutela dei dati personali trattati all’interno dell’organizzazione. L’art. 39 del GDPR, ne disciplina i compiti che sono principalmente consultivi e legati alla sorveglianza della compliance. Tuttavia, il suo ruolo è ben lungi dall’essere una figura di facciata, perché deve poter contare su leve all’interno dell’organizzazione che gli consentano di svolgere il suo ruolo e i compiti che la normativa riconosce sotto la sua responsabilità. Anche la designazione del DPO è regolata dal GDPR ed in particolare nell’art. 37 dove sono anche specificate tutte le tipologie di organizzazione che devono provvedere alla sua nomina sistematica e formalizzata, a partire dalla quale il DPO sarà tenuto a rapportarsi anche con l’Autorità Garante per la Protezione dei dati personali per conto dell’organizzazione.
Scelta fra la nomina di un Data Protection Officer Esterno o Interno
Non può esistere una risposta univoca al dubbio di avvalersi di un Data Protection Officer interno o esterno, perché ogni organizzazione ha caratteristiche diverse e peculiari. Alcuni elementi dipendono dal contesto e possono variare le considerazioni a monte della scelta. Certamente un Data Protection Officer interno all’azienda potrebbe subire un pericoloso conflitto di interessi specialmente se il suo capo gerarchico avesse obblighi sul trattamento dei dati che il DPO deve tutelare. La dipendenza dall’organizzazione potrebbe anche portare a intimidazioni in caso le scelte del DPO fossero contrarie alla linea indicata dal l’alto Management. A fronte però di queste innegabili difficoltà un Data Protection officer interno potrebbe conoscere meglio la realtà dell’organizzazione e le sue dinamiche, sapendo meglio di un esterno dove e come intervenire per correggere i problemi; inoltre sarebbe presente in azienda continuativamente mantenendo un aggiornamento costante sulla situazione. Tuttavia, poiché una delle più importanti caratteristiche è l’autonomia del DPO, la scelta dell’outsourcing potrebbe essere quella appropriata per la maggior parte delle aziende. Esaminiamo i 10 vantaggi di ricorrere ad una figura esterna all’organizzazione mediante outsourcing.
I 10 vantaggi del Data Protection Officer in outsourcing
La Figura del Data Protection Officer rappresenta la sintesi di diverse competenze: giuridiche, legali ma anche informatiche e tecniche o meglio specialistiche rispetto agli ambiti applicativi e alla cultura della data protection e conoscenza del mercato di riferimento in cui opera l’organizzazione. Deve inoltre possedere requisiti di integrità e rispondere a standard deontologici predisponendosi ad aggiornamenti e formazione continua costante. In questo senso può avere o acquisire certificazioni specifiche. Una figura di così alto profilo e con queste caratteristiche può essere un costo molto alto per l’azienda che volesse assumerlo e non tutte le aziende possono permettersi una spesa di questo tipo. Ecco, quindi, che una delle considerazioni della scelta di un DPO in outsourcing è anche legata ai costi. Il Data protection officer esterno ha un rapporto di lavoro che varia nel tempo e che quindi è potenzialmente più economico.
L’atro elemento molto importante legato alla sua autonomia decisionale è anche legato alla sua diversificata esperienza sul campo che, se avviene in diverse organizzazioni, potrebbe formarsi in maniera più ampia e differenziata, consentendo di sviluppare quelle caratteristiche di imparzialità e decisionalità in base a criteri oggettivi (oggettività). In questo senso il rischio di conflitto di interessi sarebbe altamente improbabile. Un DPO esterno potrebbe essere scelto fra quelle figure altamente specializzate per la Data protection ed avendo la focalizzazione esclusiva a questa missione potrebbe garantire sia le competenze richieste sia il suo costante aggiornamento formativo (che spesso nelle figure dipendenti non è garantito a causa di budget appropriati destinati alla formazione).
Per lo stesso motivo un DPO esterno possiede risorse e mezzi specifici che potrebbero essergli negati se fosse un dipendente aziendale e ne chiedesse la disponibilità causando un conflitto di interessi. Con il termine “risorse e mezzi specifici” ci si riferisce in particolare ad un team multidisciplinare che potrebbe supportare il DPO esterno, formato da figure professionali esperte in diverse materie che potrebbero supportare il DPO a 360°.
Un Data Protection Officer rappresentando una figura che supporta l’organizzazione nella gestione digitale dei dati deve anche possedere requisiti e competenze organizzative e manageriali che in aggiunta a quelle legali e specialistiche possano consentirgli di svolgere il suo compito in modo più efficace. Molto spesso tutte queste competenze è difficile averle già in azienda in un’unica figura o anche in un gruppo di lavoro che deve essere dedicato solo ed esclusivamente a questo task (e che quindi non è conveniente se si tratta di dipendenti aziendali).
Il ricorso ad un DPO esterno può inoltre essere conveniente per l’organizzazione che può regolare la collaborazione nell’ambito di un contratto di servizi su un periodo prolungato, al fine di evitare che l’esigenza dei rinnovi intacchi l’autonomia decisionale e l’imparzialità del DPO.
P4I – Partners4Innovation