dpo gdpr data protection officer

Facciamo chiarezza sul DPO: un’importante figura, spesso davvero incompresa.

Molto probabilmente avrai cercato su Google almeno una volta frasi come: “DPO GDPR”, “Data Protection Officer”, “Garante Privacy DPO”, etc. (potremo continuare all’infinito), con l’obiettivo di scoprire qualcosa di più su questa carica, giusto?

Non temere, da oggi grazie a questa guida avrai le idee molto più chiare (speriamo)! 

Trattandosi di una carica ambita e ricercata, cercheremo di fornirti un punto di vista utile sia se desideri intraprendere questa carriera sia se sei alla ricerca di un Data Protection Officer.

Chiara Ponti e Renato Castroreale
Ufficio Compliance

INDICE:

Cominciamo dalle basi: chi è il DPO?

“Quindi chi è il DPO?”, ci chiedono abitualmente i nostri nuovi clienti.

Il DPO, Data Protection Officer, è la nuova figura introdotta dal Regolamento (UE) 679/2016 o GDPR che ha il ruolo di affiancare Titolari, Responsabili e addetti del trattamento aiutandoli a rispettare i principi di compliance e le indicazioni del GDPR.

In breve, il DPO è un consulente tecnico, privacy, legale con potere esecutivo.

Consiglia, sorveglia e funge soprattutto da punto di contatto per l’organizzazione (o Titolare per il GDPR) per tutte le questioni attinenti alla Privacy, verso:

  • Autorità Garante;
  • Esterni all’organizzazione;
  • Interni all’organizzazione.

I suoi compiti, che approfondiremo in seguito, sono indicati all’Art. 39 del GDPR: informare, sorvegliare e collaborare.

Tutto chiaro, ma cosa vuol dire DPO?

Dopo oltre 3 anni dalla sua mistica apparizione, spesso ancora oggi non è chiaro il significato del termine DPO. Ebbene, cosa vuol dire DPO?

DPO è un acronimo che sta perData Protection Officer”, che tradotto in italiano significa Responsabile della Protezione dei Dati Personali (RDP).

Quali sono i compiti del DPO?

I compiti del DPO sono riportato nell’art. 39 del GDPR e consistono principalmente in:

  1. sorvegliare sull’osservanza della normativa, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  2. collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  3. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  4. cooperare con il Garante e fungere da punto di contatto su ogni questione connessa al trattamento;
  5. supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento;

Per farla semplice, ci viene incontro l’art. 38 del GDPR, il quale indica chiaramente che lo stesso “…sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Nomina DPO: chi nomina il Data Protection Officer?

Il Data Protection Officer viene nominato o dal titolare o dal responsabile del trattamento.

La sua funzione, come abbiamo detto, è i supporto e controllo sul trattamento dei dati, e serve all’organizzazione per gestire al meglio la compliance al GDPR.

Ti faccio notare che si parla di “organizzazioni”, poiché sia le aziende, sia le associazioni che gli enti pubblici sono talvolta obbligati o hanno vantaggi nel nominare il nostro caro Privacy Officer.

Valutiamo ora il contesto della nomina DPO.

 

DPO obbligatorio: chi deve nominarlo

Nominare un DPO è obbligatorio per:

  1. amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un DPO è comunque possibile una nomina su base volontaria. Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO.

Ma nessuno ne vieta la nomina in contesti che seppure non presentino un obbligo diretto potrebbero ricavare un vantaggio dall’introduzione di una figura di questo tipo in organizzazione.

Ad esempio, in tutte le organizzazioni complesse, o di grandi dimensioni.

Da chi viene designato il DPO?

Il DPO viene designato dai titolari/responsabili del trattamento.

Cioè persone fisiche o giuridiche, autorità, ecc., che determinano finalità e mezzi del trattamento dei dati personali (art. 4 par. 7, C 74 GDPR).

Tieni conto che per designazione si intende l’atto formale di assegnazione dell’incarico, con quanto ne consegue.

Incarico DPO: come nominare e cosa fare

Per indicare e nominare il DPO occorre: un atto formale di “designazione”, ai sensi e per gli effetti di cui all’art. 37 del GDPR per il cui schema/modello ufficiale di nomina/designazione si rimanda al modulo messo a disposizione dall’Autorità Garante, con il suggerimento di adattarlo il più possibile al contesto di riferimento.

In tale atto, elencare chiaramente poteri e responsabilità;

  • circoscrivere l’ambito operativo garantendone l’autonomia;
  • pretendere una congrua quantità di tempo dedicata allo svolgimento di tale ruolo;
  • corrispondere un compenso adeguato.

 

DPO: requisiti e competenze richieste

Tra i requisiti fondamentali che un DPO deve possedere, troviamo sicuramente un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, ma deve anche conoscere le misure tecniche ed organizzative o tutte quelle misure atte a garantire la sicurezza dei dati.

Il tutto ovviamente legato al contesto dell’organizzazione…

Citando il considerando n. 97 del GDPR, dal punto di vista delle competenze richieste per il DPO:

«il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento».

Raccomandiamo vivamente la continua formazione attraverso corsi di specializzazione e master verticalizzati specificamente su questa figura.

A tal proposito puoi dare un’occhiata alla nostra offerta formativa pensata proprio per aggiornare costantemente la figura del Privacy Officer.

Il compenso del DPO

Ma dunque, qual è il compenso del DPO?

Quanto “si mangia” questo famigerato Data Protection Officer?!

Troppo spesso, per ragioni di mercato, si trovano offerte very low cost (per non dire last minute), a discapito della qualità di tali figure professionali.

Personaggi improvvisati offrono i propri servigi a costi ridicoli, con le conseguenze del caso.

Assistiamo ad organizzazioni veramente complesse (perlopiù pubbliche o partecipate, in verità) che ricorrono a DPO a bassissimo costo (di poche centinaia di euro al mese) magari localizzati geograficamente anche dall’altro capo della nazione.

Attenzione, per favore attenzione.

Basta un semplice calcolo del rapporto tra il costo orario di un dipendente di medio livello rapportato al compenso mensile di questo improvvisato “DPO”, per comprendere che le ore dedicabili all’attività senza andare in perdita sono assolutamente insufficienti.

Se poi a questo aggiungiamo anche i costi di trasferta, l’inadeguatezza del compenso balza subito agli occhi.

Ma attenzione che l’improvvisazione di un DPO è quanto di più pericoloso possa accadere in questo ambito, specie quando la realtà di riferimento sia complessa ed abbia probabili impatti significativi in materia di protezione dati.

Alla prima difficoltà, l’inadeguatezza di questa figura apparirebbe in tutta la sua cruda realtà.

Ma quindi in soldoni?!

Considerando un impegno di almeno 2gg al mese, a tariffe scontatissime, più un forfait per l’assunzione di responsabilità e la gestione delle incombenze “extra” (come le verifiche, o la necessità di reperibilità) un DPO non può costare meno di 12.000 / 15.000 Euro.

Ma il compenso può anche essere assai più elevato se l’impegno richiesto è ad esempio continuativo.

Ora, se sei o pensi di essere un DPO alle prime armi, ti aiutiamo noi.

Ti basta leggere il paragrafo più in basso.

 

Come diventare DPO?

Per diventare DPO bisogna studiare, tanto.

E non solo!

La risposta a questa domanda non è così facile da dare. Ma non temere, c’è sempre una risposta per tutto no?

Cercando su Google, nella posta elettronica o nei gruppi social come LinkedIn, ogni giorno si vede il proliferare di offerte di corsi specifici (o presunti tali) sulla formazione del DPO/RPD.

Ma attenzione: il livello formativo “medio” risulta spesso inadeguato allo scopo, specialmente se non esiste una esperienza pregressa in settori complementari.

Chi pensa quindi di intraprendere questa carriera deve, a nostro modesto avviso, armarsi di pazienza, ed effettuare una attenta valutazione dell’offerta formativa selezionando corsi che realmente possono fornire un reale valore aggiunto.

Attenzione!

Non basta fare un corso trovato su Internet per diventare un Data Protection Officer.

Stiamo parlando di una carriera che prevede un continuo processo di studio ed aggiornamento, sia della materia privacy, sia di tutte quelle materie complementari che sono di primaria importanza (Sicurezza delle Informazioni, ecc.).

Se sei un DPO, hai bisogno di una formazione attuale, certificata e soprattutto aggiornata.

Ecco perché la nostra offerta di formazione, qualificata TUV Italia, è erogata attraverso aule virtuali e tenuta da docenti esperti sempre pronti a rispondere ai tuoi dubbi.

La nostra offerta di corsi di formazione è ad un click di distanza.

 

Certificazioni DPO: quanto contano

Le certificazioni rivestono un ruolo importante per qualificarsi come “candidati ideali” a Data Protection Officer.

Alcune norme e/o schemi di Certificazioni aiutano nel raggiungimento dell’obiettivo, pur non trattando direttamente ed esclusivamente tale ambito.

Queste sono le certificazioni DPO più interessanti, a nostro giudizio, alle quali si rinvia per approfondimenti:

  • ISO/IEC 17024;
  • INVEO 10003.

Tuttavia, ancora una volta, un semplice certificato non fa un buon DPO.

Come per tutto il resto, l’esperienza è ciò che conta di più.

DPO esterno o interno?

Il DPO può essere sia una figura esterna che interna all’organizzazione.

Il Data Protection Officer, infatti, può operare alle “dipendenze” del Titolare o del Responsabile se interno, oppure in forza di un contratto di servizio se esterno:
«può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, par. 6).

È bene considerare tuttavia che nel caso in cui il Data Protection Officer sia individuato internamente, potrebbero presentarsi due problemi:

  • al fine di garantirne l’indipendenza dovrebbe essere almeno un dirigente (cosa che ovviamente incide sui costi);
  • potrebbero sorgere conflitti di interesse, qualora l’incarico da DPO non fosse l’unico svolto (spesso questa figura se interna è affidata a chi ha altre responsabilità quali ad esempio l’ICT Manager, il Responsabile Ufficio Compliance; il Responsabile dell’Ufficio Legale, ecc.).

Queste considerazioni fanno normalmente propendere per una figura esterna, forse più semplice da gestire.

Si parla dunque della possibilità di collaborare con un “DPO di gruppo” o con un “Team di DPO”.

Vediamoli nel dettaglio.

DPO di Gruppo

É possibile utilizzare un DPO “condiviso”, specialmente se l’organizzazione risulti complessa.

Per effettuare questa scelta occorre sono considerare quanto previsto dall’art. 37, par. 3, del GDPR, “…sulla base delle valutazioni condotte di concerto” con le organizzazioni coinvolte.

Deve quindi esistere una affinità tra le relative strutture organizzative che condividono il DPO (come, ad esempio, gruppi di aziende, agenzie di viaggi, diocesi, ecc.), e non solo per motivi di razionalizzazione della spesa.

Team di DPO

Data la pluralità di competenze richieste, che raramente si concentrano in un’unica persona, spesso si ricorrere ad un Team di DPO.

Si tratta quindi di un Team di persone, con competenze eterogenee, che cooperano nello svolgimento della funzione di DPO (ad esempio personale ICT, personale Legal, ecc.).

Si tratta di un’ottima soluzione, che tuttavia pone alcune difficoltà, relativamente al coordinamento del Team, alla sua effettiva efficacia (soprattutto in termini di tempi di reazione), su possibili divergenze di opinioni, e non ultimo sui costi di gestione.

 

DPO: conflitti di interessi, indipendenza e autonomia

Il DPO deve adempiere alle sue funzioni in piena indipendenza, autonomia ed in assenza di conflitti di interesse: non decide né sulle finalità né sui mezzi del trattamento di Dati Personali, ma vigila che tutto avvenga nel migliore dei modi.

Inoltre, il Data Officer deve avere a disposizione le necessarie risorse umane e finanziarie per l’adempimento delle sue funzioni.

Circa l’operatività di tale figura, il dibattito è ancora acceso, tuttavia la tendenza generale è quella di propendere per una figura non operativa, che esegue esclusivamente attività di coordinamento e controllo (volendo anche di audit).

Cosa significa “essere un DPO”?

Per essere un “vero” DPO, idoneo al ruolo, non basta esibire attestati o certificati, ma occorre un  ingrediente principale: l’esperienza.

È infatti questo ingrediente, unitamente a capacità di gestione della relazione e manageriali, a fare la differenza.

Si potrebbe quindi azzardare il concetto che occorrano almeno tre tipi di esperienze per questa figura:

  1. generale, in materia di protezione dei Dati Personali;
  2. nel settore di competenza dell’Organizzazione;
  3. manageriale (o di gestione e coordinamento).

Questi tre elementi esperienziali, in aggiunta a competenze e conoscenze di cui si è detto, costituiscono a tutto tondo livello e qualità del DPO.

Considerata la vastità della materia che il papabile DPO si troverà ad affrontare, probabilmente anche in condizione di forte criticità come una verifica dell’Autorità Garante o un importante Data Breach, occorre infatti un dato esperienziale di tutto rispetto che abbracci la triade di competenze descritte.

Poteri e responsabilità del DPO

Da un grande potere derivano grandi responsabilità” recitava il personaggio di un famoso film.

L’incarico a DPO è una faccenda molto seria.

La nomina del DPO comporta infatti l’assunzione di non pochi poteri, da cui derivano numerose responsabilità.

Tuttavia, il GDPR sembra fornire indicazioni diverse, ossia che il DPO non abbia alcuna responsabilità diretta, che invece compete sempre al Titolare.

Dal punto di vista sostanziale, infatti, una responsabilità diretta del DPO sui Trattamenti, sarebbe una negazione della sua indipendenza e del principio di Accountability del Titolare.

Tuttavia, il DPO, rivestendo una funzione di consulenza e controllo definite da un contratto che ne regola obbligazioni e diritti, potrebbe avere responsabilità di natura civilistica rispondendo (nei limiti del contratto con il quale gli è stato conferito l’incarico) limitatamente o entro il “valore del rapporto negoziale”.

In parole semplici, egli non ha formalmente una responsabilità diretta, ma sicuramente in caso di una sanzione l’organizzazione si rivarrebbe su di lui per non avere operato correttamente, con la semplice conseguenza che nel migliore dei casi perderebbe il suo incarico e nel peggiore risponderebbe indirettamente dei danni.

Tali considerazioni ovviamente, valgono tanto nell’ipotesi di DPO in outsourcing che interno.

Nel secondo potranno insorgere conseguenze di natura giuslavoristica (essendo un Dirigente, ne potrebbe conseguire la probabile perdita del posto di lavoro).

 

Sanzioni per mancanza o inadeguatezza del DPO

Vediamo infine l’aspetto sanzionatorio, per mancanza o per inadeguatezza del DPO, chiarendo fin da subito che le eventuali sanzioni sono ad esclusivo carico del Titolare del trattamento.

Un’organizzazione che decida di non dotarsi di un DPO pur avendone l’obbligatorietà ex lege (art. 37 GDPR) si espone ad una sanzione amministrativa (pecuniaria) fino a 10 milioni di euro ovvero il 2% del fatturato (primo scaglione). 

Di recente, il Garante privacy ha sanzionato il Ministero dello Sviluppo Economico (MISE)
per aver nominato in ritardo il DPO, ordinando il pagamento di 75mila euro  
«per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.».

Si tenga conto che la “leggerezza” della sanzione è legata al fatto che si tratta di una contestazione elevata ad un Ministero e che se ciò fosse avvenuto in un normale contesto la sanzione sarebbe stata assai più importante.

Tutto questo è avvenuto nonostante l’Autorità Garante, fin dal maggio 2017, avesse avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la necessità della nomina di un DPO tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.

Altrettanto grave risulta il secondo fattore legato alla inadeguatezza che, come il primo, può determinare egualmente sanzioni significative.

É cosa nota infatti che l’Autorità Garante (anche su impulso della Commissione Europea) abbia, da poco, esteso la verifica anche agli incarichi assegnati ai presunti DPO, i quali se non adeguati ed opportunamente selezionati/valutati/retribuiti dimostrano una totale assenza di accountability facendo così franare miseramente tutti gli sforzi profusi per impostare un sistema di gestione per la protezione dei dati rispondente ai principi del GDPR.

Take away e conclusioni

Abbiamo visto come il DPO sia una figura importante, che occorre selezionare con attenzione, come altrettanta attenzione debba porre chi si avvia ad intraprendere questa carriera.

La complessità della materia trattata, la sua costante evoluzione, pongono la necessità di un continuo aggiornamento e competenze “a tutto tondo”.

In breve:

  • se pertanto qualcuno si sta proponendo per poche centinaia di euro al mese per questo incarico: scartatelo immediatamente.
  • se pensi di fare questo mestiere, proponendo centinaia di contratti a basso costo, lascia perdere. Ne vale in primis la tua salute e dopo quella degli altri.

In entrambe i casi il “bluff” verrebbe sicuramente scoperto in breve tempo.

Punta piuttosto a figure professionali con competenze elevate e con un costo adeguato, pensando ai vantaggi che le stesse possono offrire all’organizzazione (non solo in ambito Privacy).

Hai bisogno di consulenza in materia di privacy e GDPR?

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.