DPO: guida completa al Data Protection Officer

Dpo: data protection officer

Facciamo chiarezza sul DPO: un’importante figura, troppo spesso incompresa.

Molto probabilmente avrai cercato su Google almeno una volta: “DPO GDPR”, “Data Protection Officer”, “Garante Privacy DPO”, etc. (potremo continuare all’infinito), con l’obiettivo di scoprire qualcosa di più su questa carica, giusto?

Non temere, da oggi grazie a questa guida avrai le idee molto più chiare! 

Trattandosi di una carica ambita e ricercata, cercheremo di fornirti un punto di vista utile sia se desideri intraprendere questa carriera sia se sei alla ricerca di un Data Protection Officer.

Chiara Ponti e Renato Castroreale

INDICE:

Cominciamo dalle basi: chi è il DPO?

“Quindi chi è il DPO?”, ci chiedono abitualmente i nostri nuovi clienti.

Il DPO, Data Protection Officer, è la nuova figura introdotta dal Regolamento (UE) 679/2016 o GDPR che ha il ruolo di affiancare Titolari, Responsabili e addetti del trattamento aiutandoli a rispettare i principi di compliance e le indicazioni del GDPR.

In breve, il DPO è un consulente tecnico, privacy, legale con potere esecutivo.

Consiglia, sorveglia e funge soprattutto da punto di contatto per l’organizzazione (o Titolare per il GDPR) per tutte le questioni attinenti alla Privacy, verso:

  • Autorità Garante;
  • Esterni all’organizzazione;
  • Interni all’organizzazione.

I suoi compiti, che approfondiremo in seguito, sono indicati all’Art. 39 del GDPR: informare, sorvegliare e collaborare.

Tutto chiaro, ma cosa vuol dire DPO?

A distanza ormai di anni dalla sua mistica apparizione, spesso ancora oggi non è chiaro il significato del termine DPO. Ebbene, cosa vuol dire DPO?

DPO è l’acronimo di “Data Protection Officer”, che tradotto in italiano significa Responsabile della Protezione dei Dati Personali (RDP).

Quali sono i compiti del DPO?

I compiti del DPO sono riportato nell’art. 39 del GDPR e consistono principalmente in:

  1. sorvegliare sull’osservanza della normativa, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  2. collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  3. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  4. cooperare con il Garante e fungere da punto di contatto su ogni questione connessa al trattamento;
  5. supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento;

Per farla semplice, ci viene incontro l’art. 38 del GDPR, il quale indica chiaramente che lo stesso “…sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Quando il DPO è obbligatorio

Il DPO è obbligatorio nei seguenti casi:

  1. amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO è comunque possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO.

Ma nessuno ne vieta la nomina in contesti che seppure non presentino un obbligo diretto potrebbero ricavare un vantaggio dall’introduzione di una figura di questo tipo in organizzazione.

Ad esempio, in tutte le organizzazioni complesse, o di grandi dimensioni.

Come avviene la nomina del DPO

Il Data Protection Officer viene nominato o dal Titolare o dal Responsabile del trattamento.

La sua funzione, come abbiamo detto, è i supporto e controllo sul trattamento dei dati e serve all’organizzazione per gestire al meglio la compliance al GDPR.

Notiamo che si parla di “organizzazioni”, poiché sia le aziende, sia le associazioni che gli enti pubblici sono talvolta obbligati o hanno vantaggi nel nominare il nostro caro Privacy Officer.

Valutiamo ora il contesto della nomina DPO.

Da chi viene designato

Il DPO viene designato dai Titolari/Responsabili del trattamento.

Si tratta di persone fisiche o giuridiche, autorità, ecc., che determinano finalità e mezzi del trattamento dei dati personali (art. 4 par. 7, C 74 GDPR).

Tieni conto che per designazione si intende l’atto formale di assegnazione dell’incarico, con quanto ne consegue.

L’incarico

Per indicare e nominare il DPO occorre: un atto formale di “designazione”, ai sensi e per gli effetti di cui all’art. 37 del GDPR per il cui schema/modello ufficiale di nomina/designazione si rimanda al modulo messo a disposizione dall’Autorità Garante, con il suggerimento di adattarlo il più possibile al contesto di riferimento.

In tale atto, elencare chiaramente poteri e responsabilità;

  • circoscrivere l’ambito operativo garantendone l’autonomia;
  • pretendere una congrua quantità di tempo dedicata allo svolgimento di tale ruolo;
  • corrispondere un compenso adeguato. 

DPO: requisiti e competenze richieste

Tra i requisiti fondamentali che un DPO deve possedere, troviamo sicuramente un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, ma deve anche conoscere le misure tecniche ed organizzative o tutte quelle misure atte a garantire la sicurezza dei dati.

Il tutto ovviamente legato al contesto dell’organizzazione…

Citando il considerando n. 97 del GDPR, dal punto di vista delle competenze richieste per il DPO:

«il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento».

Raccomandiamo vivamente la continua formazione attraverso corsi di specializzazione e master verticalizzati specificamente su questa figura.

A tal proposito puoi dare un’occhiata alla nostra offerta formativa pensata proprio per aggiornare costantemente la figura del Privacy Officer.

Il compenso del DPO

Ma dunque, qual è il compenso del DPO?

Quanto costa questo famigerato Data Protection Officer?!

Troppo spesso, per ragioni di mercato, si trovano offerte very low cost (per non dire last minute), a discapito della qualità di tali figure professionali.

Personaggi improvvisati offrono i propri servigi a costi ridicoli, con le conseguenze del caso.

Assistiamo ad organizzazioni veramente complesse (perlopiù pubbliche o partecipate, in verità) che ricorrono a DPO a bassissimo costo (di poche centinaia di euro al mese) magari localizzati geograficamente anche dall’altro capo della nazione.

Attenzione, per favore attenzione.

Basta un semplice calcolo del rapporto tra il costo orario di un dipendente di medio livello rapportato al compenso mensile di questo improvvisato “DPO”, per comprendere che le ore dedicabili all’attività senza andare in perdita sono assolutamente insufficienti.

Se poi a questo aggiungiamo anche i costi di trasferta, l’inadeguatezza del compenso balza subito agli occhi.

Ma attenzione che l’improvvisazione di un DPO è quanto di più pericoloso possa accadere in questo ambito, specie quando la realtà di riferimento sia complessa ed abbia probabili impatti significativi in materia di protezione dati.

Alla prima difficoltà, l’inadeguatezza di questa figura apparirebbe in tutta la sua cruda realtà.

Ora, se sei o pensi di essere un DPO alle prime armi, ti aiutiamo noi.

Ti basta leggere il paragrafo più in basso.

 

Come diventare DPO?

Per diventare DPO bisogna studiare, tanto.

E non solo!

La risposta a questa domanda non è così facile da dare. Ma non temere, c’è sempre una risposta per tutto no?

Cercando su Google, nella posta elettronica o nei gruppi social come LinkedIn, ogni giorno si vede il proliferare di offerte di corsi specifici (o presunti tali) sulla formazione del DPO/RPD.

Ma attenzione: il livello formativo “medio” risulta spesso inadeguato allo scopo, specialmente se non esiste una esperienza pregressa in settori complementari.

Chi pensa quindi di intraprendere questa carriera deve, a nostro modesto avviso, armarsi di pazienza, ed effettuare una attenta valutazione dell’offerta formativa selezionando corsi che realmente possono fornire un reale valore aggiunto.

Attenzione!

Non basta fare un corso trovato su Internet per diventare un Data Protection Officer.

Stiamo parlando di una carriera che prevede un continuo processo di studio ed aggiornamento, sia della materia privacy, sia di tutte quelle materie complementari che sono di primaria importanza (Sicurezza delle Informazioni, ecc.).

Se sei un DPO, hai bisogno di una formazione attuale, certificata e soprattutto aggiornata.

Ecco perché la nostra offerta di formazione, qualificata TUV Italia, è erogata attraverso aule virtuali e tenuta da docenti esperti sempre pronti a rispondere ai tuoi dubbi.

La nostra offerta di corsi di formazione è ad un click di distanza. 

DPO esterno o interno?

Il DPO può essere sia una figura esterna che interna all’organizzazione.

Il Data Protection Officer, infatti, può operare alle “dipendenze” del Titolare o del Responsabile se interno, oppure in forza di un contratto di servizio se esterno:
«può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, par. 6).

È bene considerare tuttavia che nel caso in cui il Data Protection Officer sia individuato internamente, potrebbero presentarsi due problemi:

  • al fine di garantirne l’indipendenza dovrebbe essere almeno un dirigente (cosa che ovviamente incide sui costi);
  • potrebbero sorgere conflitti di interesse, qualora l’incarico da DPO non fosse l’unico svolto (spesso questa figura se interna è affidata a chi ha altre responsabilità quali ad esempio l’ICT Manager, il Responsabile Ufficio Compliance; il Responsabile dell’Ufficio Legale, ecc.).

Queste considerazioni fanno normalmente propendere per una figura esterna, forse più semplice da gestire.

Si parla dunque della possibilità di collaborare con un “DPO di gruppo” o con un “Team di DPO”.

Vediamoli nel dettaglio.

DPO di Gruppo

É possibile utilizzare un DPO “condiviso”, specialmente se l’organizzazione risulti complessa.

Per effettuare questa scelta occorre sono considerare quanto previsto dall’art. 37, par. 3, del GDPR, “…sulla base delle valutazioni condotte di concerto” con le organizzazioni coinvolte.

Deve quindi esistere una affinità tra le relative strutture organizzative che condividono il DPO (come, ad esempio, gruppi di aziende, agenzie di viaggi, diocesi, ecc.), e non solo per motivi di razionalizzazione della spesa.

Team di DPO

Data la pluralità di competenze richieste, che raramente si concentrano in un’unica persona, spesso si ricorrere ad un Team di DPO.

Si tratta quindi di un Team di persone, con competenze eterogenee, che cooperano nello svolgimento della funzione di DPO (ad esempio personale ICT, personale Legal, ecc.).

Si tratta di un’ottima soluzione, che tuttavia pone alcune difficoltà, relativamente al coordinamento del Team, alla sua effettiva efficacia (soprattutto in termini di tempi di reazione), su possibili divergenze di opinioni, e non ultimo sui costi di gestione. 

DPO: conflitti di interessi, indipendenza e autonomia

Il DPO deve adempiere alle sue funzioni in piena indipendenza, autonomia ed in assenza di conflitti di interesse: non decide né sulle finalità né sui mezzi del trattamento di Dati Personali, ma vigila che tutto avvenga nel migliore dei modi.

Inoltre, il Data Officer deve avere a disposizione le necessarie risorse umane e finanziarie per l’adempimento delle sue funzioni.

Circa l’operatività di tale figura, il dibattito è ancora acceso, tuttavia la tendenza generale è quella di propendere per una figura non operativa, che esegue esclusivamente attività di coordinamento e controllo (volendo anche di audit).

Cosa significa “essere un DPO”?

Per essere un “vero” DPO, idoneo al ruolo, non basta esibire attestati o certificati, ma occorre un  ingrediente principale: l’esperienza.

È infatti questo ingrediente, unitamente a capacità di gestione della relazione e manageriali, a fare la differenza.

Si potrebbe quindi azzardare il concetto che occorrano almeno tre tipi di esperienze per questa figura:

  1. generale, in materia di protezione dei Dati Personali;
  2. nel settore di competenza dell’Organizzazione;
  3. manageriale (o di gestione e coordinamento).

Questi tre elementi esperienziali, in aggiunta a competenze e conoscenze di cui si è detto, costituiscono a tutto tondo livello e qualità del DPO.

Considerata la vastità della materia che il papabile DPO si troverà ad affrontare, probabilmente anche in condizione di forte criticità come una verifica dell’Autorità Garante o un importante Data Breach, occorre infatti un dato esperienziale di tutto rispetto che abbracci la triade di competenze descritte.

Poteri e responsabilità del DPO

Da un grande potere derivano grandi responsabilità” recitava il personaggio di un famoso film.

L’incarico a DPO è una faccenda molto seria.

La nomina del DPO comporta infatti l’assunzione di non pochi poteri, da cui derivano numerose responsabilità.

Tuttavia, il GDPR sembra fornire indicazioni diverse, ossia che il DPO non abbia alcuna responsabilità diretta, che invece compete sempre al Titolare.

Dal punto di vista sostanziale, infatti, una responsabilità diretta del DPO sui Trattamenti, sarebbe una negazione della sua indipendenza e del principio di Accountability del Titolare.

Tuttavia, il DPO, rivestendo una funzione di consulenza e controllo definite da un contratto che ne regola obbligazioni e diritti, potrebbe avere responsabilità di natura civilistica rispondendo (nei limiti del contratto con il quale gli è stato conferito l’incarico) limitatamente o entro il “valore del rapporto negoziale”.

In parole semplici, egli non ha formalmente una responsabilità diretta, ma sicuramente in caso di una sanzione l’organizzazione si rivarrebbe su di lui per non avere operato correttamente, con la semplice conseguenza che nel migliore dei casi perderebbe il suo incarico e nel peggiore risponderebbe indirettamente dei danni.

Tali considerazioni ovviamente, valgono tanto nell’ipotesi di DPO in outsourcing che interno.

Nel secondo potranno insorgere conseguenze di natura giuslavoristica (essendo un Dirigente, ne potrebbe conseguire la probabile perdita del posto di lavoro).

Sanzioni per mancanza o inadeguatezza del DPO

Vediamo infine l’aspetto sanzionatorio, per mancanza o per inadeguatezza del DPO, chiarendo fin da subito che le eventuali sanzioni sono ad esclusivo carico del Titolare del trattamento.

Un’organizzazione che decida di non dotarsi di un DPO pur avendone l’obbligatorietà ex lege (art. 37 GDPR) si espone ad una sanzione amministrativa (pecuniaria) fino a 10 milioni di euro ovvero il 2% del fatturato (primo scaglione). 

Di recente, il Garante privacy ha sanzionato il Ministero dello Sviluppo Economico (MISE)
per aver nominato in ritardo il DPO, ordinando il pagamento di 75mila euro  
«per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.».

Si tenga conto che la “leggerezza” della sanzione è legata al fatto che si tratta di una contestazione elevata ad un Ministero e che se ciò fosse avvenuto in un normale contesto la sanzione sarebbe stata assai più importante.

Tutto questo è avvenuto nonostante l’Autorità Garante, fin dal maggio 2017, avesse avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la necessità della nomina di un DPO tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.

Altrettanto grave risulta il secondo fattore legato alla inadeguatezza che, come il primo, può determinare egualmente sanzioni significative.

É cosa nota infatti che l’Autorità Garante (anche su impulso della Commissione Europea) abbia, da poco, esteso la verifica anche agli incarichi assegnati ai presunti DPO, i quali se non adeguati ed opportunamente selezionati/valutati/retribuiti dimostrano una totale assenza di accountability facendo così franare miseramente tutti gli sforzi profusi per impostare un sistema di gestione per la protezione dei dati rispondente ai principi del GDPR.

Take away e conclusioni

Abbiamo visto come il DPO sia una figura importante, che occorre selezionare con attenzione, come altrettanta attenzione debba porre chi si avvia ad intraprendere questa carriera.

La complessità della materia trattata, la sua costante evoluzione, pongono la necessità di un continuo aggiornamento e competenze “a tutto tondo”.

In breve:

  • se pertanto qualcuno si sta proponendo per poche centinaia di euro al mese per questo incarico: scartatelo immediatamente.
  • se pensi di fare questo mestiere, proponendo centinaia di contratti a basso costo, lascia perdere. Ne vale in primis la tua salute e dopo quella degli altri.

In entrambe i casi il “bluff” verrebbe sicuramente scoperto in breve tempo.

Punta piuttosto a figure professionali con competenze elevate e con un costo adeguato, pensando ai vantaggi che le stesse possono offrire all’organizzazione (non solo in ambito Privacy).

Torna in alto