DPO GDPR data protection officer

Ecco una guida volta a delineare i tratti salienti e caratterizzanti della figura del DPO.
Una figura tanto importante quanto “incompresa” ed oggi giorno estremamente ricercata. Il tutto visto sia nell’ottica di chi ricerca questa figura, che nei riguardi di chi voglia approcciare questa “nuova” carriera.

Chiara Ponti e Renato Castroreale
Ufficio Compliance

INDICE:

Chi è il DPO: definizione ed individuazione

Chi è il DPO? L’acronimo DPO sta per Data Protection Officer che tradotto significa: Responsabile della Protezione dei Dati Personali o RPD.

Il DPO «può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, par. 6).

Si tratta di una delle principali “novità” introdotte dal Regolamento (UE) 679/2016 cd GDPR il quale rappresenta una figura che segna ulteriormente il cambiamento nell’approccio di questa materia.

DPO e GDPR: dove si colloca

Il DPO (RPD) è una figura professionale “artificiale” imposta oggi dalla legge agli artt. 37-39 del GDPR.

Figura che a distanza di quasi tre anni dall’attuazione del GDPR, è ancora tanto richiesta quanto discussa, vista anche l’assenza di contorni ben definiti (come, ad esempio, la mancanza di un “albo” e di un tariffario di riferimento).

Non sono richieste infatti attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio professionalizzanti può farne la differenza, come vedremo.

Solo il mercato forse (senza forse, in prospettiva futura), sta iniziando a fare una sorta di selezione naturale quanto mai necessaria per una corretta scelta del DPO.

Ricordiamo tuttavia, che il DPO deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, par. 5).

Che sia interno o esterno, che operi in raccordo con una funzione privacy o meno, che sia di gruppo o per giurisdizione è senza dubbio il punto di riferimento per organizzazioni (imprese ed enti locali), per quanto concerne la protezione dei dati personali.


Quali sono i compiti del DPO?

Cosa fa e quali sono i compiti del DPO?

Il GDPR circoscrive espressamente quali sono i compiti del DPO all’art. 38, secondo il quale occorre che il medesimo “…sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Circa i compiti del DPO, elencati all’art. 39, questi prevedono “…almeno”:

  1. Oneri di informativa
  2. Consulenza
  3. Sorveglianza e collaborazione

fungendo da “punto di contatto” tra la singola Organizzazione e l’Autorità Garante.

Ciò mira infatti «a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 – punto 2.6).».


DPO: Esterno, interno, di Gruppo o in Team?

Vediamo ora quali possono essere le varie tipologie di DPO.

DPO Esterno o Interno?
Il DPO può essere sia una figura interna che esterna.
Nel caso in cui il DPO sia individuato internamente, potrebbero palesarsi quindi due problemi:

  1. Al fine di garantire l’indipendenza egli dovrebbe essere almeno un dirigente;
  2. Potrebbero sorgere palesi conflitti di interesse, qualora l’incarico da DPO non fosse l’unico svolto (come ad esempio ICT Manager, Responsabile Ufficio Compliance; Responsabile dell’area Legal).
 

DPO di Gruppo?

É possibile in linea teorica individuare un DPO “condiviso” specie nei casi in cui l’Organizzazione sia un Ente o una struttura complessa che ritenga di avvalersi di questa facoltà, prevista dall’art. 37, par. 3, del GDPR, “sulla base delle valutazioni condotte di concerto” con le Organizzazioni coinvolte.

Ciò avviene anche per ragioni legate per ipotesi alle dimensioni, o per affinità tra le relative strutture organizzative (come ad esempio gruppi di aziende, agenzie di viaggi, diocesi, ecc.), o ancora relativamente alle funzioni, alle attività e correlati trattamenti di dati personali, per motivi di razionalizzazione della spesa.

DPO Team: lavoro di squadra.

Data la pluralità di competenze richieste, che raramente si ravvisano in una sola persona, spesso per soddisfare ciascuna di esse si è soliti a ricorrere ad un Team di DPO.

Si tratta quindi di un Team di persone con competenze spesso eterogenee, che cooperano nello svolgimento della funzione di DPO (ad esempio personale ICT, personale Legal, ecc.).

Ottima soluzione, senza tuttavia dimenticare criteri di selezione efficaci, difficoltà di relazione nel Team, divergenze di opinioni, moltiplicazione di costi, eccetera.

L’indipendenza e l’autonomia del Data Protection Officer

Tra le peculiarità del DPO vi sono essenzialmente l’indipendenza e l’autonomia.

Il DPO deve adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse, con la conseguenza che il medesimo, in linea di principio, non decide né sulle finalità né sui mezzi del trattamento di dati personali.

In ogni caso, il DPO dovrà avere a disposizione le necessarie risorse umane e finanziarie per l’adempimento delle sue funzioni.

Circa l’operatività di tale figura, il dibattito è ancora acceso, tuttavia la tendenza generale è quella di propendere per una figura non operativa, che esegua esclusivamente attività di coordinamento e controllo (anche di audit).

DPO requisiti: conoscenze e competenze solide

Quali sono i requisiti per diventare DPO?

Dal punto di vista delle competenze:

«il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (Considerando n. 97 del GDPR);

Nello specifico, il DPO, deve:

  • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati;
  • sorvegliare l’osservanza della normativavalutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento;

In pratica, egli ha una “triplice anima”: giuridicatecnica di processo; tutto ciò che rende arduo individuare questa figura.

 

Come diventare DPO: corsi di formazione ad hoc e certificazioni

La risposta non è immediata, univoca, certa e scontata.

Infatti, pensiamo alla proliferazione di corsi specifici (o presunti tali) sulla materia, per renderci di conto che la formazione del DPO è prima di tutto un business.

Come conseguenza, il livello formativo risulta spesso inadeguato, specialmente se non esiste una pregressa esperienza in settori complementari.

La nostra Offerta, si distingue qualitativamente rispetto alla media del mercato, ed offre un quadro formativo completo ed attuale

Certificazioni DPO
Intimamente connesse ai temi sopra trattati, le certificazioni rivestono un ruolo importante per qualificarsi come “candidati ideali” a DPO.

Alcune norme e/o schemi di Certificazioni aiutano nel raggiungimento dell’obiettivo, pur non trattando direttamente ed esclusivamente tale ambito.

Ne segnaliamo alcune, a nostro giudizio assai interessanti, alle quali si rinvia per approfondimenti:

  • ISO 17024
  • UNI 11697
  • INVEO 10003

Tuttavia, la sola formazione, per quanto ad hoc e certificata, non può certo dirsi esaustiva.

Cosa significa essere un DPO: professionalità ed esperienza

Per essere un DPO/RPD idoneo al ruolo, quindi non basta esibire attestati o certificati, in quanto manca l’ingrediente principale: l’esperienza.

È infatti questo ingrediente, unitamente a caratteristiche manageriali, a farne la differenza.

Si potrebbe quindi azzardare il concetto che occorrano almeno tre tipi di esperienze per questa figura:

  1. Generale in materia di protezione dei Dati Personali;
  2. Nel settore di competenza dell’Organizzazione;
  3. Manageriale (o di gestione e coordinamento).

Questi tre elementi esperienziali, in aggiunta a competenze e conoscenze di cui si è detto, costituiscono a tutto tondo livello e qualità del DPO.

Considerata la vastità della materia che il medesimo si troverà a trattare, anche in condizione di forte criticità, occorre infatti un dato esperienziale di tutto rispetto che abbracci quella triade di competenze descritte.

Incarico DPO: poteri e responsabilità

Da un grande potere derivano grandi responsabilità” recitava l’adagio di un famoso film.

In ogni caso l’incarico a DPO è una “faccenda” seria.
La nomina del DPO ha in seno non pochi poteri da cui derivano numerose responsabilità.

Facciamo chiarezza: nel GDPR non è espressa testualmente alcun tipo di responsabilità, che invece compete sempre al Titolare.

Dal punto di vista sostanziale, una responsabilità del DPO sui Trattamenti, sarebbe infatti una negazione della sua indipendenza.

Tuttavia, il DPO, rivestendo una funzione di consulenza e controllo, definite da un contratto che ne regola obbligazioni e diritti, potrebbe avere responsabilità di natura civilistiche rispondendo (nei limiti del contratto con il quale gli è stato conferito l’incarico) limitatamente o entro il valore del rapporto negoziale.

Tali considerazioni, valgono tanto nell’ipotesi di DPO in outsourcing che interno.

Tutto ciò non significa però che il DPO rimanga impunito in caso di sanzioni.

Come minimo infatti, nel primo caso verrà meno l’incarico con probabile azione di rivalsa civilistica; nel secondo potranno insorgere conseguenze di natura giuslavoristica (essendo un Dirigente, ne potrebbe conseguire la probabile perdita del posto di lavoro).

Nomina DPO: esigenza o opportunità

Valutiamo ora il contesto della nomina del DPO.

Il DPO è nominato dai Titolari del trattamento, persone fisiche o giuridiche, autorità, ecc., che determinano finalità e mezzi del trattamento dei dati personali (art. 4 par. 7, C 74 GDPR).

Può essere nominato per legge o per ragioni di opportunità, oltre che di ragionevolezza, specie nei casi di “confine” (come, ad esempio, in campo ICT per realtà di dimensioni medio/grandi, ecc.).

Il DPO deve essere obbligatoriamente nominato quando si tratta di:

  1. amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD è comunque possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD.

Per nominare ed incaricare il DPO occorre:

  • un atto formale di “designazione”, ai sensi e per gli effetti di cui all’art. 37 del GDPR per il cui schema/modello ufficiale di nomina/designazione si rimanda al modulo messo a disposizione dall’Autorità Garante, con il suggerimento di “calarlo” il più possibile nel contesto di riferimento, proprio come un “abito su misura”;
  • in tale atto, elencare chiaramente poteri e responsabilità;
  • circoscrivere l’ambito operativo garantendone l’autonomia;
  • pretendere una congrua quantità di tempo dedicata allo svolgimento di tale ruolo;
  • corrispondere un compenso adeguato.

DPO compenso: attenzione all’improvvisazione

Quanto costa un DPO? Punto dolente!

Troppo spesso, per ragioni di mercato nel senso pieno del termine, si trovano offerte very low cost, (per non dire last minutes), a discapito delle figure professionali davvero esperte e qualificate che non possono né vogliono “svendersi”.

Ciò che ne consegue, è un panorama terrificante. 

Assistiamo ad Organizzazioni veramente complesse, perlopiù pubbliche o partecipate, che ricorrono a DPO a bassissimo costo (poche centinaia di euro al mese) magari localizzati geograficamente anche dall’altro capo della nazione.

Basta un semplice calcolo del rapporto tra il costo orario di un dipendente di medio livello rapportato al compenso mensile di questo improvvisato “DPO”, per comprendere che le ore dedicabili all’attività senza andare “in perdita” sono miserrime.

Se poi a questo si aggiungono i costi di trasferta, l’inadeguatezza del compenso balza subito agli occhi.

L’improvvisazione di un DPO è quanto di più pericoloso, oltre che spaventevole, possa accadere in questo ambito, specie quando la realtà di riferimento sia complessa ed abbia probabili impatti significativi in materia di protezione dati.

 

Sanzioni GDPR: mancanza o inadeguatezza del DPO

Vediamo infine l’aspetto sanzionatorio, per mancanza o per inadeguatezza del DPO, chiarendo fin da subito che le eventuali sanzioni sono ad esclusivo carico del Titolare del trattamento.

Un’Organizzazione che decida di non dotarsi di un DPO pur avendone l’obbligatorietà ex lege (art. 37 GDPR) si espone ad una sanzione amministrativa (pecuniaria) fino a 10 milioni di euro ovvero il 2% del fatturato (primo scaglione). 

Di recente, il Garante privacy sanziona il Ministero dello sviluppo economico

per aver nominato in ritardo il DPO, ordinando al MISE il pagamento di 75mila euro  
«per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.».

Ciò nonostante, l’Autorità Garante, fin dal maggio 2017, avesse avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la necessità della nomina di un DPO/RPD tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.

Altrettanto grave risulta il secondo fattore legato alla inadeguatezza che, come il primo, può determinare egualmente sanzioni significative.

É cosa nota infatti che l’Autorità Garante – anche su impulso della Commissione europea – abbia, da poco, esteso la verifica anche agli incarichi assegnati ai presunti DPO, i quali se non adeguati ed opportunamente selezionati/valutati/retribuiti dimostrano una totale assenza di accountability facendo così franare miseramente tutti gli sforzi profusi per impostare un sistema di gestione per la protezione dei dati rispondente ai principi del GDPR.

Hai bisogno di consulenza in materia di privacy e GDPR?

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:
Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.