Obbligo nomina DPO: come trasformarlo in una leva competitiva
23 Luglio 2020 in DPO as a Service
Quando scatta l’obbligo di nomina del DPO (meglio conosciuto come “Data Protection Officer”, o “Responsabile della protezione dei dati”) il GDPR fornisce una chiara risposta a tale quesito all’interno dell’art. 37, valido sia per il Titolare che per il Responsabile del trattamento, attraverso la previsione di tre diversi presupposti:
a) il trattamento è svolto da un’autorità pubblica o da un organismo pubblico (fatta eccezione delle autorità giudiziarie, per l’attività strettamente giurisdizionale);
b) le attività principali dei citati soggetti consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico di interessati su larga scala”;
c) le attività principali del Titolare e del Responsabile consistono in trattamenti su larga scala, di dati c.d. particolari (es: dati sanitari) o relativi a condanne penali e a reati.
È sufficiente che il Titolare o il Responsabile rispetti uno soltanto dei suddetti presupposti, per essere soggetto all’obbligo di cui all’art. 37.
Sulla base di tale norma, e dell’interpretazione fornita dal Gruppo di Lavoro 29 (ora noto come “EDPB” o “European Data Protection Board”) il Garante della Protezione dei Dati personali ha fornito numerosi esempi di soggetti tipicamente rientranti nei parametri suelencati: banche, assicurazioni, partiti, sindacati, caf e patronati, oltre che strutture sanitarie e società operanti nel settore della telecomunicazione.
Una volta nominato, il DPO ha il compito di svolgere per tali soggetti funzioni prettamente (ma non esclusivamente) consulenziali e di controllo. Non solo: deve sempre essere coinvolto nelle questioni inerenti alla protezione dei dati personali e funge da punto di contatto per tutti gli interessati e per le Autorità. A tal fine, ai sensi di quanto enunciato dall’art. 38 GDPR, il Titolare ha l’obbligo di dotare il DPO anche delle necessarie autorizzazioni e risorse economiche (ad esempio: la predisposizione di un budget per l’aggiornamento professionale, la creazione di un team di supporto, ecc.).
La nomina del DPO su base volontaria
Il DPO, dunque, rappresenta un impegno anche economico: perché, allora, nella prassi, tantissime aziende scelgono di nominare un DPO volontariamente, senza esservi obbligate dal rispetto dei citati requisiti normativi?
La risposta a tale domanda è semplice: il DPO, in quanto figura consulenziale estremamente specializzata, rappresenta quel valore aggiunto che consente, in ogni settore, di migliorare la propria offerta e la propria organizzazione, di crescere, di distinguersi dagli altri:
Per i soggetti che operano B2C (Business to Consumer), ove efficacemente comunicato, la presenza di un DPO rassicura l’utente/consumatore, divenendo una leva di marketing, un sigillo di qualità del servizio, in quanto, ponendosi quale baluardo a tutela degli interessati, prova della volontà dell’azienda di proteggere e venire incontro alle necessità anche dei propri clienti, nonché simbolo di un modus operandi orientato al rispetto delle norme. Il consumatore attento ai propri dati, quindi, interpreterà l’avvenuta nomina del DPO come un segnale di “serietà” della società e sarà maggiormente indotto ad affidarsi a quest’ultima piuttosto che rivolgere il proprio sguardo (e le proprie risorse) altrove;
Per i soggetti, invece, che operano B2B (Business to Business), la scelta di nominare un DPO spesso è connessa alla necessità di garantire ai propri clienti la conformità dei prodotti e servizi forniti alle normative sulla protezione dei dati e, quindi, di riflesso, la compliance dell’intero sistema delle catene di fornitura. Tale necessità è propria di quasi tutti i soggetti operanti in settori particolarmente delicati, come lo sviluppo di software e infrastrutture destinati alla sanità o alle società di telecomunicazione (le quali spesso chiedono espressamente ai propri fornitori, la nomina non solo di un DPO, ma anche di un CISO, ossia di un Chief Information Security Officer, entrambe figure deputate a garantire la sicurezza e la conformità delle strutture tecnico-organizzative aziendali).
Alessandro Vallega – Partner at P4I – Partners4Innovation