Come scegliere e quando nominare il DPO in azienda

Chi è il Responsabile della Protezione dei Dati e perché è importante saperlo scegliere

Il Responsabile della Protezione dei Dati Personali o Data Protection Officer (DPO) è una delle nuove figure previste dal nuovo Regolamento Europeo e disciplinata alla Sezione 4 negli artt. 37,38 e 39. Esso svolge una funzione di supporto e affiancamento al Titolare e al Responsabile del trattamento ricoprendo incarichi che prevedono almeno questi compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva.

La figura del DPO è caratterizzata da un profilo con conoscenze specifiche della normativa e in particolare di tutte quelle pratiche che in materia di protezione dei dati sono necessarie al mantenimento della compliance al GDPR.

In sintesi il DPO è la figura solitamente nominata a seguito del processo di adeguamento al GDPR. Offre supporto al Titolare e al Responsabile del trattamento per far si che l’adeguamento stesso conservi la sua piena funzionalità, occupandosi di mantenere in efficienza anche mediante la formazione al personale, i processi messi in atto per l’adeguamento stesso e consigliare Titolare e Responsabile su eventuali altre attività necessarie allo scopo. Inoltre il DPO è colui il quale si renderà garante della corretta applicazione delle procedure fungendo anche da riferimento e contatto per le autorità di controllo nei casi di eventi avversi come ad esempio un Data Breach.

Le caratteristiche generali di un DPO

La nomina di responsabile della protezione dei dati può essere affidata a personale interno o esterno all’azienda purchè quest’ultimo soddisfi i requisiti necessari. Il DPO è solitamente un esterno, professionista del settore con specifiche conoscenze o anche un avvocato.

Nel caso di nomine interne il Regolamento e il gruppo di lavoro WP29, offrono spunti e precisazioni riguardo tali nomine le quali dovranno essere predisposte valutando i seguenti punti:

L’incarico deve essere concesso in assenza di “conflitto di interessi” e a tal proposito il gruppo di lavoro WP 29 riporta quanto segue:
1. Appare preferibile evitare di assegnare il ruolo a soggetti con incarichi di alta direzione (amministratore delegato, membro del cda, direttore generale ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, responsabile IT, ecc.)…
Quando l’azienda o l’organizzazione gestisce trattamenti di particolare complessità o sensibilità è sconsigliabile assegnare al DPO ulteriori responsabilità che potrebbero creare un cumulo di impegni tale da pregiudicare il regolare svolgimento dei compiti previsti.

La persona che riveste la carica del DPO deve essere imparziale obiettiva e soprattutto competente in materia in quanto le responsabilità assegnategli prevedono conoscenze specifiche in diversi ambienti dell’organizzazione come:

Cognizione diretta in tutti i processi aziendali coinvolti nella procedura di trattamento dei dati personali dalla raccolta alla cancellazione.
Essere competente in ambito IT in modo da garantire l’esattezza dei sistemi informatici coinvolti nella filiera del trattamento, sapendo inoltre individuare eventuali falle in modo da procedere direttamente o indirettamente alle dovute correzioni. La conoscenza informatica rappresenta un elemento determinante in quanto necessaria anche a valutare il livello di protezione offerto dai sistemi e la data protection, contribuendo entrambe a garantire uno dei principi essenziali del GDPR come l’idoneità e l’adeguatezza delle misure tecniche di sicurezza adottate.

Quando è necessario nominare il DPO

Il Regolamento esplicita chiaramente i casi in cui la designazione del DPO è obbligatoria descrivendo puntualmente nell’art. 37, par. 1, tali situazioni.

Il Titolare e il Responsabile del trattamento procedono alla nomina di un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Dall’interpretazione delle lettere all’art. sopra citato, possiamo stabilire che l’obbligo è incondizionato per la lettera a) mentre per le altre categorie dovranno essere valutai gli elementi intrinsechi come il “monitoraggio regolare” e il concetto di “larga scala” così come le “categorie particolari di dati”.

A tal proposito il legislatore offre spunti di riflessione che sono comunque stati approfonditi dal gruppo di lavoro WP29, il quale chiaramente classifica le tipologie di attività che rientrano tra le “fortemente consigliate” alla nomina. Riporto di seguito le categorie in formula esemplificativa e non esaustiva:

Cooperative di prestazione lavoro
Imprese assicurative
Istituti di credito
Istituti di vigilanza
Partiti politici
Patronati e CAF
Recupero crediti
Revisori contabili
Selezione del personale
Sindacati
Società che forniscono servizi di riabilitazione
Società che trattano dati particolari
Società che trattano dati sensibili delle persone
Società che trattano un ingente volume di dati personali
Società di informazioni commerciali
Società operanti nel settore della cura del corpo
Società operanti nel settore energetico
Società operanti nel settore medicale privato
Società operanti nelle telecomunicazioni
Somministrazione del lavoro

La nomina del DPO rimane comunque una scelta da fare dopo un’attenta valutazione che normalmente rientra nelle attività di adeguamento al GDPR. Resta in fine da sottolineare che la nomina DPO viene considerata come atto di responsabilità che il Titolare sceglie di compiere nel pieno rispetto del principio di Accountability. (trattato anche in questo articolo)

Se ti interessa capire più nel dettaglio il nostro approccio e il metodo che utilizziamo, puoi contattarci. Saremo lieti di organizzare un incontro per conoscerci.

Di Fabio Petricca|2022-02-25T17:56:40+01:00Gennaio 3rd, 2020|News|0 Commenti

Scritto da: Fabio Petricca

Quando racconto di me non posso ignorare il costante desiderio della scoperta e l’istinto di sapere come funzionano le cose, tutte. Nel mio percorso professionale la curiosità ha guidato le mie scelte permettendomi di raggiungere risultati che mi hanno sempre reso orgoglioso.