In questi anni trascorsi dalla piena entrata in vigore del GDPR, ci sono state poste molte domande sul ruolo di Data Protection Officer, per comodità vorremmo riassumere- in questa pagina – una serie di FAQ per rispondere ai dubbi comuni che ci vengono spesso posti in relazione all’importante ruolo del DPO – Data Protection Officer nelle innumerevoli organizzazioni italiane.
Vorremmo far capire quando esso debba essere nominato, chi sono le organizzazioni che ne hanno obbligo, se sia comunque possibile nominarlo volontariamente, se possa essere incaricata una persona giuridica oppure esclusivamente una persona fisica, quali siano le competenze, le qualifiche e le certificazioni necessarie, che procedure effettuare per la valutazione della adeguatezza al ruolo, quali siano i costi giusti del ruolo di DPO e se sia possibile risparmiare, ad esempio effettuandola internamente.
in primis, per conoscere chi debba nominare il Data Protection Officer, quali funzioni gli siano attribuite dal Regolamento UE 679/2016, cosa dovrebbe fare ma soprattutto cosa non può fare, abbiamo predisposto una specifica pagina di approfondimento.
Dapprima le indicazioni generali sul Data Protection Officer.
Il Data Protection Officer (di seguito DPO o D.P.O.) è un ruolo determinante per la protezione dei dati personali, introdotto dal Regolamento Generale sulla Protezione dei Dati EU 2016/679. Nella pagina di approfondimento abbiamo già indicato chi lo debba nominare, le sue funzioni, cosa non può fare; pensiamo al DPO come una figura “superpartes” che opera al fianco della azienda incaricante, promuove la compliance alla normativa privacy e ne sorveglia il rispetto, opera come facilitatore tra interessati <> azienda <> Autorità di Controllo.
La figura DPO, soggetto esterno o interno?
Da quanto appena espresso, appare chiaro come un soggetto facente parte dell’organizzazione difficimente disponga delle caratteristiche di indipendenza necessarie; inoltre il Regolamento specifica che il DPO non deve ricevere istruzioni su come svolgere il proprio lavoro, condizione poco effettiva in un ruolo dipendente. Inoltre, anche nelle entità di grandi dimensioni, è ben difficile che un soggetto nominato DPO possa provedere autonomamente alla sua formazione costante e professionale. Occorre fare attenzione a che non sussistano conflitti di interessi tra le funzioni svolte in azienda e il ruolo di DPO (come nel caso di nomine al responsabile dei sistemi informativi non potrà mai svolgere lecitamente il ruolo di DPO, in quanto in palese conflitto di interessi).
La software house per il ruolo di DPO o l’adeguamento privacy?
Abbiamo già espresso come la software house non possa rivestire il ruolo di DPO – Data Protection Officer / RPD – Responsabile della Protezione dei Dati Personali senza incorrere in conflitti di interesse. Come essere terzi quando le misure di sicurezza IT sono spesso proposte ed attuate dalla stessa software house? Inoltre sussiste l’obbligo di nomina dell’amministratore di sistema, che la software house svolge certamente, altro punto di conflitto di ruoli.
Inoltre, in questi anni, abbiamo notato come spesso chi si occupa esclusivamente di software ed hardware abbia il focus solo sui propri ambiti, ritenendo erroneamente che la sicurezza si ottiene comprando scatole. Trascurando, per questo, le misure organizzative, quelle relative alla sicurezza fisica, e la formazione degli incaricati; sappiamo infatti che oltre il 70% della violazioni è scaturita da una mancanza di consapevolezza delle persone.
Quale è la corretta procedura di selezione del DPO?
In merito invece alla procedura di selezione, occorre avere ben chiaro che – per il concetto di accountability – il titolare del trattamento (l’organizzazione nel suo insieme) deve selezionare una figura adeguata a rivestire il ruolo di DPO nei propri ambiti. Risulta chiaro come realtà complesse non potranno basare la scelta del Data Protection Officer solo sul costo mensile, ma dovranno valutare seriamente se le competenze del professionista siano adeguate alle specificità dei trattamenti svolti. Occorre inoltre sempre conoscere quanti ruoli effettivi ha già il candidato al ruolo di DPO, e occorre diffidare da coloro che svolgono contemporaneamente decine e decine di ruoli, in quanto ben difficilmente potranno svolgerli al meglio. Per il concetto di facile raggiungibilità del DPO, occorre assolutamente evitare che il professionista scelto risieda a centinaia di km dalla sede aziendale.
Meglio un PROFESSIONISTA singolo o un TEAM?
In merito invece alla questione se sia meglio scegliere un professionista singolo o un soggetto giuridico, come uno studio o un TEAM di consulenti, occorre fare un distinguo. Se nelle aziende di limitate dimensioni e/o con bassa complessità è certamente adeguato incaricare un soggetto fisico del ruolo di DPO, in realtà di grandi dimensioni o che svolgono trattamenti particolari su larga scala, spesso risulta necessario nominare un team (studio professionale o entità giuridica) che assommi tutte le competenze specialistiche necessarie. Ricordiamo come – in caso di nomina di soggetto giuridico – deve essere comunque indicato un singolo professionista – quale persona fisica – come punto di contatto verso l’Autorità di Controllo. Vogliamo anche rilevare come alcune pronunce di Autorità di Controllo europee hanno eccepito la nomina di una figura DPO non adeguata alle specificità aziendali, come – nel novembre 2021 quando l’Autorità garante per la protezione dei dati personali del Lussemburgo, sanzionando una società, ha sancito un criterio molto importante utile a stabilire cosa debba intendersi per “comprovata esperienza”; nel provvedimento si è stabilito che il DPO – per poter essere validamente nominato – abbia almeno tre anni di esperienza in materia di protezione dei dati personali.
IN MERITO AI COSTI DEL DPO
In merito ai costi relativi al ruolo del Data Protection Officer, spesso si ritiene che nominando quale DPO un soggetto interno, questo determini una riduzione dei costi. Ricordiamo come la figura che rivestirà il ruolo di DPO debba avere competenze, esperienza, elevata autonomia ed indipendenza. La nomina di un soggetto non adeguato è sanzionabile, ed in ogni caso ricordiamo che si tratta di un ruolo primario in ogni azienda, che riferisce direttamente al top management. Abbiamo sperimentato in questi anni come un ruolo DPO esterno garantisca maggiormente tutti i requisiti richiesti dalla normativa, e specialmente nei gruppi aziendali o in organizzazioni facenti parte di un unico soggetto globale, è possibile nominare un Data Protection Officer condiviso; questa nomina condivisa, oltre a ridurre sensibilmente i costi, determina concreti vantaggi di comprensione degli ambiti operativi – da parte del Data Protection Officer, e di interazione tra tutte le funzioni aziendali ed intra-gruppo.
La nomina del DPO rileva il board aziendale dalle responsabilità GDPR?
No, la figura del DPO è intesa come “facilitatore , promotore, sensibiizzatore, controllore” delle procedure di trattamento dei dati personali e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le relative responsabilità.
Il nostro team di professionisti certificati ISO/IEC 17024:2003 e/o UNI 11697/2017 è in grado di svolgere il ruolo ed accettare l’incarico di DPO – RPD nelle organizzazioni di qualunque dimensione, in tutta Italia. Contattateci e chiedeci i nostri curricula professionali, e confrontateli con gi atri peima di prendere una decisione. Sappiate che la normativa richiede anche di svolgere una seria valutazione delle competenze del professionista scelto per rivestire il ruolo di Data Protection Officer, che dovrà essere poi mantenuta agli atti.