DPO: i requisiti e le caratteristiche per la grande azienda
13 Luglio 2020 in DPO as a Service
Il Data Protection Officer (detto anche “DPO” o “Responsabile della protezione dei dati”) è uno dei soggetti cardine sui quali si fonda l’intera disciplina europea sulla protezione dei dati e, come tale, ha l’obbligo di adempiere a numerosi compiti essenziali, ai sensi di quanto disciplinato dall’art. 39 GDPR. Proprio in virtù della specificità e dell’elevato livello professionale necessario per svolgere correttamente tali compiti, l’art. 37 GDPR richiede espressamente la designazione del DPO in funzione di alcuni requisiti, ossia “delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Il ruolo del DPO come figura “tecnico-giuridica”
Ma cosa intende il legislatore europeo quando parla di “prassi in materia di dati personali”? Tale termine non è da intendersi quale mero riferimento a usi e consuetudini, bensì quale conoscenza delle migliori best practices e linee guida sul tema e possesso della capacità di farne uso contestualizzandole alle dimensioni e alle necessità dell’azienda nella quale opera, al fine di proteggere i dati da accessi illegali e/o indesiderati che potrebbero intaccare uno dei seguenti fattori:
- la riservatezza del dato, ossia la sua segretezza nei confronti di soggetti terzi non autorizzati;
- l’integrità del dato, da intendersi, in estrema sintesi, quale correttezza formale e sostanziale dello stesso;
- la disponibilità del dato, evitando, ad esempio, il blocco del sistema a causa di un attacco hacker, anche se solo temporaneo.
La conoscenza delle prassi vale soprattutto nelle grandi aziende, infatti, gran parte dei processi di trattamento di dati personali (e non solo) avvengono tramite sistemi informativi che occorre attentamente proteggere e strutturare, oltre che adeguare nel corso del tempo, in base ai cambiamenti sia normativi che informatici.
Occorre, quindi, che il DPO scelto dalla società sia non solo un esperto conoscitore della legge ma anche delle misure di sicurezza. Attenzione: con ciò non vuole intendersi che il DPO debba necessariamente essere un informatico esperto o che debba conoscere l’esatto processo di implementazione, all’interno di un sistema informatico, di una determinata misura di sicurezza; ciò che conta maggiormente è che quest’ultimo abbia chiaro quali e quante misure di sicurezza esistono (sia tecniche che organizzative) e, soprattutto, quali tra queste si adattano meglio allo schema organizzativo dell’azienda e alle tipologie di dato (“comune” o “particolare” ex art. 9 GDPR) che sono oggetto di trattamento, in modo tale da parametrare con efficacia la propria attività di controllo e consulenza alle concrete esigenze del proprio cliente.
Una competenza, dunque, estremamente trasversale.
I requisiti del Data Protection Officer come soggetto “terzo, indipendente” e, soprattutto, credibile
Svolte le dovute premesse sostanziali, occorre evidenziare come il DPO, poiché destinato a confrontarsi con le posizioni di vertice dell’azienda nella quale opera, oltre che con le Autorità Garanti, debba possedere anche spiccate capacità relazionali, essere in grado di porsi nei panni degli altri, guidandoli e orientandoli verso la giusta direzione.
Specialmente nel contesto organizzativo della grande azienda, dovrà essere in grado di gestire e allineare gli interessi e le richieste di tutti gli stakeholders (compresi gli investitori), di comunicare efficacemente e in modo convincente con dirigenti e amministratori delegati, influendo positivamente sul loro operato e, conseguentemente, sull’azienda, divenendo non più un semplice costo, un mero adempimento di un obbligo normativo, ma un valore aggiunto che contribuisce alla sua crescita.
Gli stessi specialisti di P4I hanno potuto osservare in prima persona quanto tale capacità possa essere dirimente, lavorando a stretto contatto con il DPO di un gruppo ospedaliero, il quale ha utilizzato le proprie abilità e competenze per aiutare il Titolare ad imbastire un bando di gara pienamente conforme alla normativa, dal valore di centinaia di migliaia di euro.
Solo ove si guardi a tutti i requisiti del DPO sinora menzionati, la nomina del DPO diviene effettiva, motivata non più dalla paura ma dalla volontà di donare alla propria azienda quel qualcosa in più, quel valore, che possa distinguerla dalle altre.
Alessandro Vallega – Partner at P4I – Partners4Innovation