info@iwsconsulting.it campus@iwsconsulting.it
+39 06 98968170
Contattaci Vai al sito Iws

Nessun prodotto nel carrello.

Iws News
Home Articoli Il Data Protection Officer: uno sguardo a competenza e responsabilità
Articoli

Il Data Protection Officer: uno sguardo a competenza e responsabilità

Redazione 24 Marzo 2021 0 Comments

Di Giuseppe Virgallita

 

Il Data Protection Officer, – in italiano, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal Regolamento UE 2016/679 (GDPR).

Ma quali sono le sue competenze e responsabilità?

Il DPO affianca il Titolare, il Responsabile e gli addetti del trattamento, affinché conservino i dati e ne gestiscano i rischi.

Nonostante sia una figura professionale nuova, grandi enti ed operatori si sono già dotati da tempo di una funzione privacy che svolge compiti assai simili al DPO. Per supportare le organizzazioni nel mercato unico digitale europeo, il DPO necessita di una preparazione specialistica e formazione continua, affiancata dall’esperienza sul campo.

Il valore del DPO è noto, tanto che alcune legislazioni nazionali storicamente più preparate ad approcci basati sulla c.d. “responsabilizzazione”, se ne erano già dotate. Sebbene la vecchia direttiva 95/46/CE, non prevedesse alcun obbligo di nomina di un DPO, alcuni stati membri (fra i quali la Germania e la Francia) avevano già previsto una figura simile, facendo tesoro delle “best practices” virtuose affermatesi nel corso degli anni. 

I casi in cui il DPO è obbligatorio

L’art. 37, par. 1, del GDPR stabilisce tre casi specifici in cui la designazione del DPO è da considerarsi obbligatoria:

  • Nel settore pubblico (fatta eccezione per le Autorità Giurisdizionali quando esercitano le loro funzioni);
  • Nel settore privato quando il Titolare effettua trattamenti che comportano il monitoraggio regolare e sistematico degli interessati su larga scala, trattamenti su larga scala di particolari categorie di dati personali di cui all’art. 9 o dati relativi a condanne penali ed a reati di cui all’art. 10.

Rientrano nel presupposto di monitoraggio puntuale, costante e sistematico, ad esempio, gli operatori di telecomunicazione, gli operatori che effettuano attività di profilazione per finalità di marketing comportamentale, oppure per erogare premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili, programmi fedeltà.

  • Il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale dati sensibili (detti particolari, usando la terminologia prevista dal Regolamento UE 2016/679) oppure dati giudiziari su larga scala, come ospedali, case di cura, istituti di credito, assicurazioni.

A prescindere, però, dal dettato normativo di cui all’art. 37 GDPR, la designazione di un DPO può avvenire anche quando la stessa sia ritenuta opportuna in ragione della peculiarità della realtà in cui opera il singolo Titolare. Nelle sue FAQ, infatti, l’Autorità Garante per la Privacy incoraggia la nomina di un DPO anche quando tale figura non sia obbligatoria per legge, essendo tale designazione un elemento peculiare ai fini del principio di “responsabilizzazione” che permea l’intero assetto del Regolamento UE 2016/679.

Questa tesi, inoltre, è stata rafforzata da tutti i Garanti Europei che sottolineano come il DPO rappresenti una “figura capace di facilitare l’osservanza della normativa sulla privacy ed al contempo aumentare il margine competitivo delle imprese”.

I compiti del DPO

La figura immaginata e creata dal Legislatore europeo è complessa e multiforme, capace di svolgere compiti di vigilanza, assistenza e consulenza, agevolando la coerente attuazione dei principi del GDPR. Il DPO, infatti, è chiamato a svolgere all’interno della singola realtà aziendale attività analoghe a quelle che il Garante nazionale e l’EDPB (Comitato europeo per la protezione dei dati) svolgono a livello italiano ed europeo.

L’art. 39 del GDPR enumera una serie di attività che il DPO è chiamato a svolgere, fra le quali:

  • Informare e fornire consulenza al Titolare del trattamento, al Responsabile del trattamento, nonché a tutti i dipendenti che trattano dati personali;
  • Sorvegliare l’osservanza della normativa nazionale e comunitaria, nonché le politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai vari trattamenti ed alle connesse attività di controllo”;
  • Fornire, qualora richiesto, un parere in merito alla valutazione di impatto (DPIA) sulla protezione dei dati e sorvegliarne il corretto svolgimento;
  • Cooperare con l’Autorità Garante nazionale;
  • Fungere da punto di contatto e di raccordo per l’Autorità Garante nazionale per tutte le questioni connesse al trattamento, fra cui la consultazione preventiva di cui all’art. 36 ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Dunque, DPO è un professionista in possesso di un’adeguata competenza specialistica, un certo grado di esperienza nel settore in cui opera, oltre che di eccellenti capacità manageriali. Deve essere anche un ottimo comunicatore capace di coinvolgere l’intera organizzazione, in modo da rendere il tema della “protezione e sicurezza dei dati” capillarmente diffuso all’interno del tessuto aziendale.

Il DPO, insomma, deve possedere un set di hard e soft skills ben definite che fanno di questa nuova figura un vero e proprio manager della gestione del flusso dei dati e di tutte le risorse a questo predisposte.

A questa attività per così dire “istituzionale”, si affianca una attività caratterizzata da sessioni formative circa la conduzione e il governo dei processi di c.d. “data protection”.

Scelta e nomina di un DPO

Stando a quanto previsto dal Regolamento, al Titolare è lasciata libera scelta di optare per un DPO interno, oppure scegliere di avvalersi una figura esterna. Le due alternative sono da considerarsi del tutto equivalenti. Ciò che fa la differenza è ovviamente la realtà operativa del contesto in cui il DPO opera a seconda del suo stato di dipendente o consulente, con ripercussioni a livello gestionale ed organizzativo.

Un DPO interno, quindi dipendente del Titolare, potrebbe trovarsi a soffrire una mancanza di indipendenza, in quanto l’organizzazione potrebbe non essere culturalmente matura per accettare comportamenti di totale autonomia gestionale ed a svolgere attività in conflitto di interesse, stante la prassi largamente diffusa di utilizzare risorse già preposte a questa attività.

Un DPO esterno, per converso, potrebbe fornire una visione più lucida e distaccata su alcune problematiche di particolare rilevanza, senza tuttavia conoscere le reali dinamiche aziendali ed il personale con cui andrà ad interfacciarsi. A ben vedere, dunque, e come già detto in precedenza, la nomina di un DPO, interno o esterno che sia, non può prescindere dalla sua preparazione, dalla sua formazione specialistica e dalla sua esperienza pregressa nel settore di riferimento.

Formazione e competenza del DPO

La figura del DPO è una figura polivalente che necessita di una formazione multidisciplinare di tipo tecnico-giuridica. Il DPO, infatti, deve essere esperto in sistemi dell’informazione, avere competenze gestionali ed organizzative innestate ad una solida preparazione giuridica. Si serve, inoltre, di competenze giuridiche, a cui si aggiunge conoscenza informatica e propensione alla gestione e all’organizzazione di processi e risorse. Una professione multidisciplinare a tutto tondo, dunque.

Sull’importanza del DPO, basti pensare a come il DPO sia stata una figura chiave nella riorganizzazione delle procedure e dei sistemi aziendali per consentire la prosecuzione delle attività da remoto durante i mesi del lockdown. Il ruolo da giurista del DPO emerge, in particolare, nel delicato contesto delle Pubbliche Amministrazioni.

Sulla base della recente esperienza è semplice comprendere come il diritto alla privacy non possa essere concepito come avulso dal contesto circostante, bensì come questo sia strettamente collegato alle altre branche del diritto. Il DPO supporta il Titolare affinché questi possa operare scelte in linea con i principi sanciti dal Regolamento UE 2016/679.

In conclusione, il DPO è una sorta di “piccolo garante” all’interno di una attività aziendale o all’interno di un  Ente, capace di operare come una Autorità, avendo una spiccata capacità proattiva nell’indicare soluzioni e strade per operare in piena conformità alla normativa europea.

Per essere compliance occorre valutare ed analizzare il proprio contesto legale-organizzativo che deve garantire una gestione corretta delle varie problematiche, non solo in termini di indipedenza ed assenza di conflitto di interessi, ma anche in riferimento ad una corretta integrazione del DPO con le altre funzioni ll’organizzazione.

 

Focus On! Scienza, Tecnologia e Attualità: la rassegna del venerdìPrevFocus On! Scienza, Tecnologia e Attualità: la rassegna del venerdì19 Marzo 2021
Focus On! Scienza, Tecnologia e Attualità: la rassegna del venerdì26 Marzo 2021Focus On! Scienza, Tecnologia e Attualità: la rassegna del venerdìNext

Related Posts