DPO-Cosa fa il Data Protection Officer

DPO: COSA FA IL DATA PROTECTION OFFICER

7 Febbraio 2022

DPO – Il Responsabile della Protezione dei Dati

Vi siete mai chiesti chi sia il DPO e cosa fa il Data Protection Officer?

L’art 37, par. 1, del GDPR introduce la figura del DPO – il Responsabile della Protezione dei Dati – e indica che è necessaria la sua nomina se il trattamento:

  • è effettuato da un’autorità pubblica o da un organismo pubblico,
  • comporta il monitoraggio regolare e sistematico degli interessati su larga scala,
  • è effettuato su larga scala e riguarda dati particolari (ex sensibili) o relativi a reati e condanne penali (cd. dati giudiziari).

È bene precisare che, nel caso si ritenesse opportuno, è possibile procedere anche ad una nomina su base volontaria e, anche in tal caso, nei confronti del soggetto designato viene richiesta la sussistenza dei medesimi requisiti previsti per il DPO la cui nomina è invece obbligatoria.

Quali sono i requisiti richiesti per essere nominato DPO?

Il par. 5 dell’art. 37 GDPR non definisce in modo specifico quali siano i requisiti che il D.P.O. deve possedere per poter essere designato indicando solamente la necessità di conoscere la materia della protezione dei dati e di essere capace di assolvere ai propri compiti.

Ci vengono, quindi, in soccorso le “Linee Guida sui responsabili della protezione dei dati (RPD)”, redatte dal Gruppo di lavoro ex art. 29, e le “Faq del Garante privacy” (cfr. Provvedimento del 29 aprile 2021 Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico).

In questi documenti è stato chiarito che per essere DPO non sono necessarie specifiche attestazioni o l’iscrizione in appositi albi – anche se master o corsi di formazione possono essere uno strumento utile per valutare le conoscenze del soggetto designato – ma ciò che rileva è un’approfondita conoscenza del Regolamento (GDPR), delle misure tecniche e organizzative volte a garantire la sicurezza dei dati oltre al possesso di competenze trasversali, relative al settore di riferimento in cui opera il Titolare e/o il Responsabile del trattamento, e questo per poter garantire un alto livello di professionalità in relazione alla specifica realtà nella quale il soggetto designato andrà a prestare la propria attività.

 

Cosa fa il data Protection Officer?

Guardando ai trattamenti svolti da un Titolare e/o Responsabile, tra i compiti del DPO possiamo citare:

  • l’attività di raccolta di informazioni necessaria ad individuare i diversi tipi di trattamento che un’organizzazione effettua;
  • l’analisi e verifica di conformità al Regolamento europeo dei singoli trattamenti individuati. Illustrando, ad esempio, come debbano essere raccolti, trattati e conservati i dati personali;
  • l’individuazione della supply chain o “catena dei fornitori” che permette di mappare chi gestisce i dati “per conto” dell’azienda. Parliamo quindi dei responsabili esterni come, ad esempio, consulente del lavoro, web agency, fornitori di tecnologie, ..;
  • la promozione dell’awerness ossia della “consapevolezza” sulla modalità della gestione dei dati grazie alla sensibilizzazione e formazione degli incaricati/autorizzati al trattamento e ciò al fine di mantenere un alert sempre attivo su quelle che sono le attività privacy da valutare ed effettuare;
  • l’essere il tramite fra l’azienda e l’autorità, come in caso di ispezione, aiutando a dimostrare il livello di “accountability” raggiunto in azienda;
  • il sorvegliare il trattamento dei dati ossia controllare che questo venga effettuato garantendo un rischio residuale basso, che permetta di tutelare al meglio i dati acquisiti dagli interessati (quali i dipendenti, i clienti, i pazienti, i minori, ..), suggerendo contromisure tecniche e/o organizzative nel caso in cui il rischio per i dati trattati sia medio/alto. Ad esempio, consigliando la cifratura dei dati archiviati sui dispositivi locali e/o scambiati con terzi o l’esecuzione di backup periodici e remotizzati rispetto all’infrastruttura aziendale;
  • esprimere un parere, se richiesto da Titolare e/o Responsabile, circa la valutazione d’impatto sulla protezione dei dati (DPIA), ex art 35 GDPR e sorvegliarne lo svolgimento; e
  • fungere da punto di contatto tra l’azienda e gli interessati per qualsiasi questione inerente al trattamento dei loro dati (come nel caso di una richiesta di esercizio dei diritti ex 15-22 GDPR).

N.B.: Abbiamo indicato gli incarichi codificati, ma nulla vieta che gliene possano esser assegnati di ulteriori!!

Il Titolare, il Responsabile così come i loro incaricati/autorizzati al trattamento dovranno collaborare col DPO che, è bene ricordare, non riceve istruzioni, ma nell’esercizio dei suoi compiti, è dotato di totale autonomia ed indipedenza.

Conclusioni

Per tutto quanto sopra, e come previsto anche all’art. 38 GDPR, è fondamentale che il DPO venga coinvolto tempestivamente in tutte le decisioni che ineriscono la protezione dei dati personali.

Sembra banale, ma per permettere al DPO di svolgere al meglio la sua funzione è fondamentale informarlo, nonché invitarlo alle riunioni della dirigenza aziendale e consultarlo già nelle fasi iniziali di progettazione del trattamento di dati personali, in conformità al principio della “privacy by design”, ex art. 25 GDPR.

Senza dimenticare di contattarlo immediatamente in caso del verificarsi di un Data Breach, per consentirgli di aiutare il Titolare e/o Responsabile del trattamento consigliandoli nella determinazione delle contromisure tecniche e organizzative da adottare per mitigare il rischio.

Il DPO, pertanto, non dev’essere visto alla stessa stregua di un auditor che certifica un modus operandi, ma piuttosto come un “consigliere” che partecipa, in modo continuativo, alle decisioni aziendali che possono impattare sulla gestione di dati personali e/o particolari contribuendo alla creazione del “sistema di gestione privacy”.

In questo modo la presenza della sua figura non costituirà solamente un adempimento ad un obbligo normativo, ma potrà esprimere un valore fattuale per l’azienda!

 

Inquadramento normativo

Dopo un lungo iter legislativo, il 24 maggio 2016 è entrato in vigore il Regolamento (UE) 2016/679 divenuto obbligatorio – direttamente applicabile in ciascun Stato membro dell’Unione Europea – a partire dal 25 maggio 2018.

Scopo del Regolamento, conosciuto con l’acronimo “GDPR” (General Data Protection Regulation), è rafforzare e unificare la normativa inerente alla protezione dei dati personali dei cittadini e/o residenti nell’Unione Europea.

Ilaria Arrighi
About

Laureata in Giurisprudenza presso l’Università Cattolica del Sacro Cuore, Ilaria per diversi anni ha svolto attività giudiziale e stragiudiziale, specialmente in ambito civile. Ha conseguito corsi di Lead Auditor Privacy e Data Privacy Officier che hanno completato la sua formazione, donando al suo approccio consulenziale una visione a 360°. Instancabilità ed intraprendenza sono due caratteristiche che la contraddistinguono.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci