Lo richiede la nuova normativa europea del GDPR. Per rispettarla occorre non solo una corretta procedura di selezione di questa figura, ma valutare il proprio contesto legale-organizzativo.
Figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che è ora obbligatoria per tutta la pubblica amministrazioni e in alcuni casi anche in ambito privato.
Cos’è il DPO, le linee guida Garanti privacy
Le linee guida pubblicate dal Gruppo europeo dei Garanti ex art. 29, in consultazione pubblica fino la fine di gennaio 2017, hanno fornito alcune indicazioni su cosa sia il DPO
Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Da quanto detto sopra, emerge comunque con chiarezza che, sebbene la designazione del Data Protection Officer sia accompagnato da una semplificazione in termini di designazione condivisa tra i diversi enti pubblici, questo adempimento comporterà certamente maggiori oneri per le finanze pubbliche.
Peraltro verso, il Data Protection Officer anche in ambito privato ha ruolo pervasivo dovendo essere coinvolto tempestivamente su ogni questione a lui/lei inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).
In ambito privato, l’articolo 37 co. 1 lett. b) del regolamento europeo prevede l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare per premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà, ecc. ecc..
Il DPO in ambito privato è obbligatorio anche per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione ospedali, assicurazioni e istituti di creGdito eccetera.
I compiti del DPO
Più nel merito, i complessi compiti affidati al DPO sono previsti solo a livello minimale dal regolamento potendo quindi il titolare e il responsabile affidarne altri compiti, nello specifico il Dpo dovrà:
- informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento;
- sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati;
- sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;
- fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia);
- fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali;
- controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).
- Ma come accennato il DPO potrà inoltre gestire inventari e gestire un registro dei trattamenti e delle attività di trattamento ex art. 30, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento ex art. 30 del regolamento europeo resti comunque ad appannaggio del titolare e del responsabile, peraltro, questi compiti sono già previsti da circa quindi anni come rientranti nel ruolo di Data Protection Officer interni alle istituzioni dell’Unione europea (regolamento 2001/45/Ce).
Scelta e nomina del DPO, i criteri
In riferimento ai requisiti soggettivi e specificatamente allo profilo dello status, il candidato DPO ideale in molti casi potrebbe molto probabilmente occupare una posizione dirigenziale o manageriale stante l’obbligo di riferire al vertice gerarchico, un profilo senior potrà garantire maggiore indipendenza rispetto ad uno junior, soprattutto per garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare. Inoltre, dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, le linee guida esplicitano che dovrà anche essere dotato di una linea di budget adeguata graduata sulla complessità dell’organizzazione.
Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.
In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali critici dell’organizzazione in tema di protezione dei dati.
Chi scrive è persuaso che questo aspetto è meno critico di quanto sia stato sollevato in vari consessi specialistici, soprattutto tenuto conto dell’esperienza maturata in altri settori, come per esempio gli organismi di vigilanza sul decreto legislativo 231/2001, dove si sono adottate soluzioni legali-organizzative basate su codice etici dell’organizzazione, politiche e procedure organizzative che, unitamente alla verifica puntuale delle abilità e competenze concrete del DPO, consentono di inserire correttamente questo nuovo ruolo all’interno dell’organizzazione.
Preme infine ricordare che, come anche chiarito nelle recenti linee giuda, il DPO non potrà rispondere personalmente della non conformità dell’organizzazione al regolamento europeo, responsabilità dirette che ricadono esclusivamente sul titolare e sul responsabile.
Nomina del DPO, errori da non fare
Dall’esperienza di questi mesi, emergono alcuni errori tipici nella scelta del DPO:
- Considerare la nomina un mero adempimento formale
- La ricerca del massimo risparmio
- Scegliere una figura non indipendente, in conflitto di interesse (vedi i Responsabili IT, Amministratori ecc..)
Si tratta quindi di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diversi anni di una funzione privacy che svolge compiti assibilabili al DPO, che necessita di una preparazione specialistica e una formazione continua ma anche di un’esperienza concreta sul campo per supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.
Per essere compliance occorre pertanto non solo una corretta procedura di selezione del candidato DPO, ma occorre valutare il proprio contesto legale-organizzativo che deve garantire una corretta gestione delle problematiche che inevitabilmente si porranno non solo in termini di indipendenza e di assenza di conflitto di interessi ma per una corretta integrazione del DPO con le altre funzioni dell’organizzazione.
Lo scenario europeo
Vale la pena anche ricordare i motivi di fondo che hanno animato l’Unione europea: con il nuovo pacchetto di riforma nell’ambito della protezione dei dati punta con decisione sull’aumento di fiducia dei consumatori per dare impulso al mercato unico digitale a livello europeo. La nomina del DPO è un tassello di questa finalità. Il pacchetto si compone di due atti normativi la direttiva 2016/680/CE (c.d. Direttiva Polizia) e il Regolamento 2016/679/UE. Come è noto, il Regolamento europeo per la protezione dei dati personali è entrato in vigore lo scorso 24 maggio, la sua disciplina diventerà direttamente applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.
Infatti, la disciplina normativa subisce cambiamenti sostanziali. Tra questi merita particolare attenzione il c.d. principio di accountability (tradotto prevalentemente con il termine “responsabilizzazione” oppure come proposto da alcuni commentatori anche “rendicontazione”), in virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.
Principio questo che va certamente accostato ad un approccio proattivo al rischio fortemente rafforzato nel regolamento rispetto all’attuale Codice della Privacy e che obbligherà i titolari e i responsabili ad analizzare i rischi connessi ai trattamenti da loro posti in essere (c.d. risk-based approach).
La nomina del DPO è funzionale a questo scopo ed è per questo motivo che è fondamentale avvenga in modo efficace: per l’azienda ma anche per il sistema economico europeo nel complesso.