Responsabile protezione dei dati, il ruolo del DPO


Il regolamento generale sulla protezione dei dati 2016/679, meglio noto come GDPR, ha introdotto la figura del Data Protection Officer (DPO) ovvero un professionista che deve avere un ruolo aziendale di responsabilità, con diverse competenze:

  • Giuridiche
  • Informatiche
  • Di risk management
  • Di analisi dei processi

Di seguito in questo articolo il nostro consulente esperto nella materia, Alessandro Bonacossa, ci guiderà alla scoperta del ruolo e di tutte le mansioni che competono al DPO, sia nelle aziende private che nella pubblica amministrazione.

Indice

Requisiti

Quali sono le sue mansioni

Quando deve essere nominato

Interno od esterno all’azienda

DPO nella pubblica amministrazione

Impatto del DPO sull’organizzazione aziendale

Le sanzioni

 

Requisiti

 

Come diventare Data Protection Officer

 

Il Data Protection Officer DPO è una figura che trae la sua origine dalla normativa europea. La traduzione del Data Protection Officer in italiano significa responsabile della protezione dei dati, da non confondere con il responsabile del trattamento dei dati. La sua attività principale è quella di osservare, valutare e organizzare la gestione di dati personali, ovvero la loro protezione all’interno di un’azienda, sia essa pubblica o privata, affinché venga rispettata la normativa europea e nazionale in tema di privacy.

  • DPO e responsabile del trattamento dei dati, due figure da non confondere.

È importante distinguere bene il ruolo del DPO dal responsabile del trattamento dei dati. La traduzione dall’inglese, infatti, potrebbe generare confusione mentre si tratta di due figure distinte con requisiti e ruoli differenti. Per meglio comprendere la fondamentale differenza, riportiamo un esempio: un’azienda con dei dipendenti tratta i loro dati personali ed affida al Data Protection officer il controllo di quei dati. Nel momento in cui l’azienda esternalizza la realizzazione ad esempio delle buste paga, affida ad un individuo terzo il trattamento dei dati che ne sarà responsabile. E’ evidente che il responsabile del trattamento dei dati potrà essere perciò sempre solo esterno, mentre il DPO potrà essere individuato all’interno di una azienda come invece essere una figura esterna.

  • Livello di competenza

Il livello di competenza richiesto non è strettamente definito, ma deve essere commisurato con la sensibilità, la complessità e la quantità di dati di ogni organizzazione.

Ad esempio, quando un’attività di trattamento è particolarmente complessa, o se comporta una grande quantità di dati sensibili, per il DPO potrebbe essere necessario un più elevato livello di competenza, conoscenze specifiche e supporto.

  • Qualità professionali

Anche se il GDPR non specifica le qualità professionali che dovrebbero essere considerate quando si designa un DPO, un elemento rilevante è avere una conoscenza approfondita delle leggi sulla protezione dei dati nazionali ed europei e delle prassi in materia di protezione dei dati.

  • Sarebbe opportuno che le Autorità di controllo (DPA) promuovessero una formazione adeguata e continua a favore del DPO; anche attraverso seminari e forum a supporto.
  • Un ruolo fondamentale in questo senso può essere svolto dalle associazioni come ASSO DPO.

 

 

 

Quali sono le sue mansioni

 

quando è obbligatorio data protection officer

 

 

Secondo quanto riportato nell’articolo 39 del GDPR, il DPO deve svolgere le seguenti mansioni:

  • informare e consigliare

il Titolare, il Responsabile e i dipendenti che trattano i dati personali circa i loro obblighi ai sensi del Regolamento Privacy UE e altre normative privacy,

  • sorvegliare

l’osservanza del GDPR e altre normative privacy nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo (internal audits),

 

  • fornire pareri

in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; ciò che è importante rilevare è che non effettua direttamente l’attività,

  • controllare

Come parte di questi compiti di controllo che il DPO deve effettuare vi sono:

  • la raccolta di informazioni per individuare i trattamenti svolti
  • l’analisi e la verifica dei trattamenti in termini di loro conformità
  • l’attività di informazione, consulenza e indirizzo nei confronti di Titolare o Responsabile
  • pianificare annualmente interventi formativi che prevedano corsi privacy periodici per tutto il personale incaricato al trattamento di dati personali

 

  • fungere da punto di contatto per l’autorità di controllo

per questioni connesse al trattamento, tra cui la consultazione preventiva (prior check), di cui all’articolo 36, ed effettuare, se è il caso, consultazioni relativamente a qualunque altra questione.

 

Quando deve essere nominato

 

Come diventare Data Protection Officer

 

 

Il Data Protection Officer secondo l’articolo 37 del GDPR deve essere designato se:

  • Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione di un’autorità giudiziaria
  • Le attività principali del titolare o del responsabile consistono in trattamenti che per loro natura o campo di applicazione o ancora per finalità richiedono un monitoraggio regolare e sistematico degli interessati su larga scala. Al riguardo il WP29 raccomanda che debbano essere considerati alcuni fattori:
    • Il numero di soggetti interessati dal trattamento, espressi in percentuale sulla popolazione di riferimento
    • Il volume dei dati e le diverse tipologie di dati oggetto di trattamento
    • La durata, ovvero la persistenza, dell’attività di trattamento
    • La portata geografica dell’attività di trattamento

Facendo alcuni esempi possiamo citare il trattamento di dati relativi a:

  • pazienti di un ospedale nell’ambito delle ordinarie attività,
  • agli spostamenti degli utenti di un servizio di trasporto pubblico cittadino,
  • a dati di geolocalizzazione.

 

 

  • Le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (ad esempio stato di salute, etnia, razza) o relativi a condanne penali,
  • Un’altra fonte normativa (ad esempio la legge dello Stato membro) lo prevede.

 

  • DPO di gruppo

Un gruppo di imprese può designare un unico responsabile della protezione dei dati (DPO), a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento.

Qualora il Titolare o il Responsabile del trattamento sia un’Autorità pubblica o un organismo pubblico, il Responsabile della protezione dei dati (DPO) potrà essere designato per più enti.

  • Team di DPO

Alla luce delle dimensioni e della struttura della singola azienda e del singolo organismo, può risultare necessario costituire un ufficio o un gruppo di lavoro DPO.  I singoli, le abilità dei singoli e i loro punti di forza potranno essere combinati in modo che i diversi individui, che lavorano in un team, possano seguire più efficacemente i loro clienti.

Per motivi di chiarezza contrattuale e di buona organizzazione si raccomanda di avere una chiara ripartizione dei compiti all’interno dei team dei DPO e di assegnare ad un solo soggetto il ruolo di “referente/responsabile del team” per ogni cliente e che ogni cliente individui un delegato che si interfacci con il DPO.

Generalmente sarebbe utile specificare questi punti all’interno del contratto di servizi.

 

Interno o esterno all’azienda

 

DPO interno o esterno

 

 

La scelta se individuare un DPO interno o affidarsi ad un soggetto esterno è soggettiva, il concetto di base è che non ci deve essere conflitto di interesse.

  • Conflitto di interesse

A seconda delle attività, le dimensioni e la struttura dell’organizzazione, può essere buona pratica per il Titolare del trattamento e il Responsabile del trattamento:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di DPO
  • redigere regole interne a tale scopo onde evitare conflitti di interessi
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi
  • dichiarare che il DPO non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di DPO, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale DPO ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi.

 

Il responsabile della protezione dei dati può essere:

  • Un membro dello staff del titolare o del responsabile
  • Oppure assolvere i compiti sulla base di un contratto di servizi.

 

  • DPO interno

    • È sempre una persona fisica
    • Ha un ufficio o persone che lavorano per lui
    • Deve saper strutturare un progetto

 

  • DPO esterno

    • Le Linee guida WP29 chiariscono che: non solo il DPO può essere un soggetto (persona fisica) esterno, ma addirittura che la sua funzione può essere affidata mediante un contratto di servizi a una società esterna (persona giuridica/ente collettivo/Studio associato).
    • In caso di contratto di servizi è essenziale che ogni membro dell’organizzazione che esercita le funzioni di un DPO soddisfi tutti i requisiti pertinenti (ad esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi).

 

DPO nella pubblica amministrazione

 

Nella pubblica amministrazione i requisiti del DPO sono gli stessi delle aziende private, con il vincolo di legge che non debbano esserci conflitti di interesse. Ovviamente il DPO nella PA deve essere formato rispetto a quell’ambito e, oltre le competenze giuridiche e in materia di privacy, deve avere competenze anche nel settore della pubblica amministrazione.

  • Linee guida

E’ opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO siano compatibili con le mansioni affidate ai dipendenti con qualifica non dirigenziale. Quindi se il DPO è interno, è preferibile che sia un dirigente o funzionario di alta professionalità che possa svolgere le sue funzioni in autonomia ed indipendenza, nonché in collaborazione con il vertice aziendale.

 

Impatto nell’organizzazione aziendale

 

organizzazione aziendale DPO

 

Nello svolgere i propri compiti, il DPO deve avere qualità personali e conoscenze ovvero integrità ed etica professionale, inoltre deve preoccuparsi di garantire la conformità dell’organizzazione per la quale presta la propria attività.

  • Posizione del DPO

Il responsabile della protezione dei dati deve:

  • Essere adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati
  • Avere le risorse necessarie per adempiere ai compiti previsti dall’art 39 del Regolamento Europeo
  • Mantenere la propria conoscenza specialistica
  • Non deve ricevere istruzioni per l’esecuzione dei suoi compiti
  • Non deve essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti

 

 

  • Atto di designazione del DPO

Il Data Protection Officer quando è interno è nominato con un atto di designazione, mentre quando è esterno opera sulla base di un contratto di servizi.

Ci sono alcuni elementi necessari da indicare nell’atto di designazione che sono:

  • Individuazione e generalità DPO
  • Indicazione dei compiti anche ulteriori rispetto all’articolo 39 del GDPR
  • Specifica delle funzioni
  • Motivi della scelta del soggetto (jus eligendi)
  • Criteri per la scelta

 

  • Assicurazione

Il DPO è sempre assicurato nel caso in cui incorra in sanzioni amministrative e penali (se pur remote). Infatti, oltre alla responsabilità civile, con ogni conseguenza economica e di risarcimento danni, si deve porre in evidenza che esiste anche un profilo di responsabilità penale in capo al DPO, nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso.

 

Le sanzioni

 

Le sanzioni per il DPO

 

 

Infine, ai sensi dell’art. 39 del GDPR, si ritiene debba sussistere in capo al DPO anche una responsabilità per quanto concerne la correttezza delle comunicazioni e notifiche effettuate al Garante, salvo dimostrare un affidamento incolpevole sulle informazioni ricevute dai vertici aziendali.   

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia