Una delle innovazioni più rilevanti, introdotte dal Regolamento UE 679/2016, è certamente il ruolo dEFINITO RPD – Responsabile della Protezione dei Dati (in inglese Data Protection Officer); si tratta di una figura già precedentemente adottata in USA ed UE a supporto di specifiche organizzazioni complesse, ma che a far data dalla piena applicazione del GDPR – nel maggio 2018 – è divenuta obbligatoria non solo in ogni ente pubblico, ma anche in alcune specifiche organizzazioni private.
SAPEVATE CHE:
- il Responsabile della Protezione dei Dati è obbligatorio in tutti gli enti pubblici ed in alcune organizzazioni private, ma può essere nominato volontariamente in tutte le altre realtà, e che tale nomina determina una importante misura di accountability e rappresenta un sensibile svuiuppo delle politiche verso la protezione dei dati?
- il Responsabile della Protezione dei Dati è un esperto con competenze multidisciplinari, che il Regolamento UE 679/2016 affianca alle organizzazioni come sensibilizzatore e promotore della protezione dei dati personali?
- il Responsabile della Protezione dei Dati opera con elevata autonomia ed indipendenza, interagisce direttamente con la direzione aziendale e non può svolgere attività in conflitto di interessi?
- gli estremi di contatto del Responsabile della Protezione dei Dati vanno indicati nelle informative e nel sito web, e che la sua nomina deve essere comunicata, con apposita procedura, alla Autorità di Controllo Nazionale?
Ma chi è il Responsabile della Protezione dei Dati?
Il RPD – Responsabile della Protezione dei Dati è una figura professionale con specifiche competenze in ambito informatico, giuridico, di valutazione del rischio e di analisi dei processi. Si tratta di un soggetto designato dal Titolare o dal Responsabile del trattamento per assolvere a funzioni consultive ed informative, di supporto e controllo, e formative relativamente alla normativa di protezione dei dati personali, europea e nazionale; a tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità di Controllo (il Garante Privacy italiano), con il quale coopera e ne costituisce il punto di contatto della azienda.
Quali requisiti professionali deve avere il Responsabile della Protezione dei Dati?
Il Responsabile della Protezione dei Dati, al quale attualmente non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve comunque possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle peculiarità e delle procedure di trattamento che caratterizzano la realtà incaricante. Deve poter offrire – con il grado di professionalità adeguato alla complessità del ruolo assegnato – la consulenza necessaria per progettare, verificare e mantenere un valido sistema di gestione dei dati personali, assistendo il titolare o il responsabile del trattamento nell’adozione di un modello organizzativo data-protection che tuteli al meglio i dati personali trattati nel contesto operativo nel quale è chiamato a svolgere il proprio ruolo, svolto assolutamente in piena indipendenza ed autonomia, in assenza di conflitto di interessi e senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti, sui quali riferisce direttamente ai vertici aziendali.
Quali organizzazioni debbono incaricare un Responsabile della Protezione dei Dati?
I casi nei quali occorre nominare un Responsabile della Protezione dei Dati sono indicati all’art. 37 GDPR; a suo tempo abbiamo indicato, con apposito approfondimento, quali organizzazioni debbono dotarsi di un DPO. Nelle intenzioni del Legislatore Europeo, appare chiara l’indicazione di affiancare un Responsabile della Protezione dei Dati alle aziende nelle quali il trattamento di dati personali determina – o potrebbe determinare – particolari rischi per i diritti e le libertà degli individui, come per esempio in tutti gli enti pubblici, nelle attività di tracciamento on-line o dei comportamenti delle persone, qualora vengano trattati categorie particolari di dati – in larga scala ed in misura sistematica, anche effettuate da aziende private.
Quali sono le funzioni principali del Responsabile della Protezione dei Dati?
I compiti – attribuiti dal Regolamento UE 679/2016 (all’art.39) al Responsabile della Protezione dei Dati – sono quantomeno i seguenti:
- informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’Autorità di Controllo nazionale(Garante per la Protezione dei Dati Personali);
- essere il punto di contatto dell’Autorità di Controllo nazionale per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’art. 36 RGPD, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione inerente al trattamento o alla protezione dei dati personali.
Evidenziamo come il Responsabile della Protezione dei Dati debba anche essere sempre coinvolto (sin dalla prima progettualità e non a cose fatte) nella adozione di nuovi trattamenti o nelle scelte tecnologiche riguardanti i mezzi e gli strumenti di trattamento. In aggiunta a questo, noi riteniamo che il DPO – in attuazione delle proprie mansioni di promotore e sensibilizzatore in tema di privacy, debba occuparsi in prima persona della formazione; sottolineamo come i seminari formativi rappresentino un veicolo formidabile di sensibilizzazione e promozione della cultura privacy aziendale, oltre che importante momento di confronto e feedback.
Inoltre, dalle esperienze maturate, abbiamo rilevato che è necessario coinvolgere il RPD anche nelle scelte degli strumenti di trattamento, nella valutazione dei rischi e della adozione delle misure di sicurezza (prevenire, quindi comportamento proattivo); pensiamo anche che il DPO debba essere in prima fila nella gestione di un eventuale violazione di dati personali (data breach). Per questo, occorrono valide competenze in ambiti tecnologici ed informatici, cosi come in ambiti di computer forensic.
L’apporto fondamentale del RPD alla reale protezione dei dati personali.
In questi 6 anni trascorsi dall’entrata in vigore del GDPR, abbiamo realizzato in concreto come la figura del Responsabile della Protezione dei Dati, intesa nel Regolamento come consigliere, promotore, sensibilizzatore e verificatore, determini anche una tra le più importanti misure di accountability (dimostrazione di responsabilizzazione) tra quelle adottabili dalle organizzazioni di ogni tipologia. Inoltre, specialmente nel caso di nomine volontarie (ogni azienda non in obbligo può sempre nominare un DPO su base volontaria), esse rappresentano una scelta aziendale forte e la sua lungimirante strategia alla realizzazione della compliance rispetto alla normativa di protezione dei dati personali.
Cosa non è – ma sopratutto cosa non fa – un Responsabile della Protezione dei Dati?
Un RPD occupa una posizione particolare all’interno di un’organizzazione, in quanto – pur operando ai livelli del top-management, con il quale interagisce – deve operare in modo indipendente e non può ricevere istruzioni dirette sul modo di svolgere i suoi compiti.
È importante chiarire anche ciò che non è ma soprattutto cosa non fa, specialmente per evitare i conflitti di interesse.
Ecco alcuni punti chiave:
Non è un decision maker: Il RPD non prende decisioni relative al trattamento dei dati personali. Il suo ruolo è di fornire consulenza e raccomandazioni, ma la decisione finale – così come la responsabilità di esse – permane nel titolare del trattamento.
Non controlla i dati né vi accede: Nonostante sia responsabile del monitoraggio della conformità con il GDPR, il RPD non è coinvolto direttamente nel controllo dei dati o nella gestione delle operazioni di trattamento dei dati.
Non è responsabile delle violazioni: Sebbene il RPD debba consigliare e promuovere la conformità con la normativa di protezione dei dati, non è personalmente responsabile in caso di violazione dei dati. In tali casi però è il soggetto che deve fungere da punto di contatto con l’Autorità di Controllo e facilitare la comunicazione e l’azione del Garante Privacy.
Non è un ruolo operativo: Il RPD non dovrebbe essere coinvolto in attività operative che possano portare a un conflitto di interessi con il suo ruolo di monitoraggio e consulenza. In particolare, non dovrebbe essere incaricato di definire i processi di business che determinano le finalità e i mezzi del trattamento dei dati personali.
Non è un ruolo solitario: Anche se il RPD deve mantenere un certo grado di indipendenza, deve certamente collaborare con altri dipartimenti e unità organizzative, come il reparto IT, l’ufficio legale, le risorse umane, la funzione compliance, il supporto clienti e altri, per coordinare l’azione e garantire una protezione dei dati efficace ed il rispetto dei diritti degli interessati. Di recente il RPD interagisce anche con l’OdV per la normativa WhistleBlowing.
Non deve ricevere istruzioni: Il RPD deve essere in grado di svolgere i suoi compiti in totale autonomia, senza ricevere direttive specifiche su come interpretare le leggi sulla protezione dei dati o su come gestire particolari questioni di conformità.
Non è un responsabile delle politiche e delle misure adottate: Sebbene il RPD aiuti a formare valide politiche e procedure, ed adottare le opportune misure di protezione, la responsabilità finale dell’adozione e dell’attuazione di tali politiche è del titolare del trattamento. A nostro avviso, esso deve formalizzare la scelta aziendale presa in contrasto con le sue indicazioni.
Non è soggetto a direzione gerarchica: Quantunque il RPD (nel caso si tratti di un soggetto interno) possa avere una posizione gerarchica all’interno dell’organizzazione, esso non deve ricevere indicazioni su come interpretare la legge sulla protezione dei dati o come applicarla. Questo garantisce che il RPD possa valutare e consigliare sulle questioni di protezione dei dati senza conflitti di interesse. Inoltre il RPD riferisce direttamente al punto più alto dell’organigramma aziendale.
Non deve essere sanzionato o penalizzato: Il RPD non dovrebbe essere sanzionato, penalizzato o tantomeno licenziato nello svolgimento dei suoi compiti in conformità con il GDPR, in quanto ciò comprometterebbe la sua autonomia ed indipendenza.
Chi può essere incaricato quale Responsabile della Protezione dei Dati?
Le qualifiche e competenze del soggetto chiamato e rivestire il ruolo di RPD sono importanti; anche se il GDPR non specifica titoli di studio necessari o richiede certificazioni abilitanti al ruolo, sono assolutamente richieste:
- Conoscenza Specialistica: Uno dei requisiti principali è che il RPD deve avere una conoscenza specialistica del diritto e delle best practicies in materia di protezione dei dati. Questo non implica necessariamente un titolo di studio specifico in diritto o in informatica, ma richiede una comprensione approfondita del GDPR e di altre leggi sulla protezione dei dati, oltre che nelle materie Information Tecnology, Telecomunication e DataProtection;
- Esperienza Professionale: L’esperienza professionale è altrettanto importante. Il RPD dovrebbe avere una buona comprensione delle pratiche operative, dei processi e delle strutture IT, nonché delle implicazioni legali e tecniche del trattamento dei dati;
- Competenze Organizzative e Gestionali: Un aspetto fondamentale del ruolo del RPD è la capacità di organizzare, gestire e coordinare efficacemente le attività legate alla protezione dei dati all’interno dell’organizzazione;
- Capacità relazionali: Il RPD deve essere in grado di comunicare efficacemente a tutti i livelli dell’organizzazione e con le Autorità di Controllo. Questo richiede consolidate competenze comunicative e interpersonali (c.d. Soft Skills);
- Indipendenza: Il GDPR richiede che il RPD agisca in modo indipendente e non riceva istruzioni per quanto riguarda l’esercizio delle sue mansioni. Questo significa che il candidato ideale non dovrebbe avere conflitti di interesse con altri ruoli che potrebbe svolgere all’interno dell’organizzazione.
- Posizione all’interno dell’Organizzazione: Non c’è una regola fissa su dove il RPD debba essere posizionato all’interno della gerarchia aziendale, ma deve avere accesso diretto ai vertici decisionali per rendere la sua azione efficace.
- Formazione Continua: La capacità e la volontà del RPD di rimanere aggiornato alle ultime evoluzioni nel campo della protezione dei dati è cruciale.
Riassumendo, per svolgere efficacemente il ruolo di Responsabile della Protezione dei Dati (RPD) occorre possedere un ampio bagaglio di competenze, tra le quali una profonda conoscenza delle normative sulla protezione dei dati, capacità organizzative e gestionali, una visione indipendente, autorevolezza, abilità comunicative ed interpersonali. Data la complessità e la varietà di queste necessarie competenze, è spesso difficile riassumere tutte queste qualità e capacità in un solo soggetto. Inoltre, occorre costantemente effettuare aggiornamento e formazione di alto livello, che spesso soggetti interni alle aziende non riescono a garantirsi. Pertanto, molte organizzazioni scelgono di affidarsi a un team di professionisti esterni, che unitamente possono riassumere l’intero ambito delle competenze richieste per svolgere efficacemente il complesso ruolo di Responsabile della Protezione dei Dati personali.
Il nostro TEAM dispone delle competenze ed esperienze adeguate a svolgere il ruolo di RPD in ogni tipologia di organizzazione, anche pubblica; pur non essendo attualmente richiesto, siamo comunque certificati con i vari frameworks maggiormente riconosciuti, quali ISO 27001, UNI 11697:2017 ed altri; a proposito della importante certificazione UNI 11697, vi consigliamo di valutarne il possesso del candidato al ruolo di RPD, in quanto – ad oltre sei anni dalla piena applicazione del GDPR – sono esistenti meno di 500 certificazioni su oltre 68.000 ruoli RPD comunicati al Garante Privacy.
Se siete alla ricerca di professionista esperto per conferire un incarico di RPD nella vostra organizzazione con sede in Montevarchi, contattateci per la nostra migliore proposta o per ogni necessità specifica; operiamo nella vostra città – ma in generale in tutta la regione Toscana.
Noi riteniamo – con trent’anni di esperienza – di poter fare la differenza; metteteci alla prova!
I NOSTRI APPROFONDIMENTI SULl’incarico rpd – Responsabile della Protezione dei Dati
Linee guida EDPB sull’adozione del legittimo interesse
L’EDPB ha recentemente pubblicato delle linee guida sul trattamento dei dati personali basato sul legittimo…
Accessi illeciti a conti bancari
Un ex dipendente di Intesa Sanpaolo della filiale di Bisceglie è al centro di un’inchiesta…
GDPR e NIS2 – differenze e punti di contatto
Per un’organizzazione già soggetta al GDPR, l’entrata in vigore della ormai imminente Direttiva NIS2 determina…
Privacy: Sistema di Gestione o Modello Organizzativo?
Il GDPR non prescrive esplicitamente l’adozione di un framework strutturato, simile a quello previsto da…
Sospesa dal servizio dopo rifiuto della nomina ad incaricato del trattamento
La controversia nasce da una lavoratrice che, impiegata come caposquadra portalettere, impugnava il provvedimento di…
GDPR e sito web
L’entrata in vigore del Regolamento UE 679/2016 ha effetti rilevanti anche su tutti i siti…
Provvedimenti ON-LINE e dati personali
ANAC – Autorità Nazionale AntiCorruzione ha rilevato che – in molti provvedimenti pubblicati nei rispettivi…
Decreto Autovelox e protezione dei dati personali
Il recente decreto 11 aprile 2024 – chiamato decreto autovelox 2024 – pubblicato sulla Gazzetta…
La “Privacy POLICE”
Stamani – per alcune attività di audit su sito web – abbiamo ancora una volta…
Suggerimenti creazione e gestione passwords
L’Autorità Garante per la protezione dei dati personali ha realizzato e pubblicato un nuovo vademecum…