
Chi è il Data Protection Officer?
9 Marzo 2022
Le origini della figura del DPO
Moltissime aziende hanno iniziato a prendere confidenza col ruolo aziendale del DPO (Data Protection Officer in italiano Responsabile della protezione dei dati) a partire dal 2018, allo scadere del termine ultimo di adeguamento delle imprese europee al Regolamento Europeo 679/2016.
L’identikit del DPO è stato tratteggiato in primis dal Working Party 29 (oggi EDPB) con le Linee guida WP 243 che prefiguravano la sua centralità all’interno del nuovo quadro giuridico che si andava delineando con l’imminente entrata in vigore del GDPR. In realtà il Gruppo di Lavoro ricorda che il DPO non costituisce una novità assoluta in quanto molti Stati membri già prevedevano per prassi tale figura.
Inoltre, secondo dottrina[1], il DPO appare “l’evoluzione del ruolo interno del soggetto preposto al riscontro in materia di trattamento dei dati personali, presente nel Codice Privacy ante riforma e nella direttiva 95/46”.
Il principale corpus normativo che delinea il DPO è, naturalmente, il Regolamento Europeo 2016/679 che prevede una serie di requisiti in relazione a nomina, status e compiti. A questa fonte si aggiunto le Faq dell’RPD (Responsabile della Protezione dei dati) in ambito privato e in ambito pubblico.
La posizione del DPO nell’organigramma
L’indipendenza[2] costituisce uno dei requisiti cardine del ruolo in parola tanto che il Regolamento dedica un intero articolo alla posizione del DPO. Indipendenza significa equidistanza del Data Protection Officer da tutti i soggetti coinvolti affinché, privo da interferenze gerarchiche, possa svolgere al meglio le attività affidategli per legge (informativa, consulenziale, di sorveglianza, di contatto).
L’organigramma “privacy” costituisce la prima evidenza per comprendere l’attuazione del principio di indipendenza ed autonomia quale valido strumento per l’individuazione delle risorse destinate al trattamento dati [3] e alle conseguenti responsabilità.
All’interno dell’organigramma il DPO è collocato a fianco del Titolare o del Responsabile del trattamento (a seconda di chi lo nomina), a prescindere che sia interno o esterno. La parità di posizione deriva dalla necessaria assenza di ingerenze da parte dello stesso Titolare/Responsabile nonché dai vertici manageriali. In altri termini, il DPO non può ricevere istruzioni in ordine all’esecuzione dei compiti, limitandosi a riferire circa l’operato svolto[4]. Il Titolare/Responsabile dovrà sostenerlo con risorse umane e finanziare fornendo la necessaria collaborazione in ordine alle attività ed alle infrastrutture oggetto di implementazione.
Perché nominare il DPO?
Perché lo impone la legge? Per trasferire le responsabilità in capo ad un soggetto terzo? Per evitare sanzioni?
La risposta è da ricercarsi nell’essenza stessa del ruolo. Il Data Protection Officer è stato pensato quale figura con connotati garantistici. Tale aspetto lo si evince soprattutto in relazione ai compiti di collaborazione con l’Autorità di controllo e di contatto con gli interessati.
Il DPO rappresenta il mezzo principale per rispondere al “principio dei principi”: la cd. accountability (in italiano, responsabilizzazione). Il Data Protection Officer aiuterà, quindi, il Titolare/Responsabile del trattamento all’osservanza degli adempimenti normativi e, ancora più importante, li coadiuverà nelle attività atte a rispondere all’onere probatorio in capo agli stessi[5].
Le società devono vedere il DPO come facilitatore che, con la propria professionalità tecnico-giuridica, è in grado di comprendere il background societario per tradurlo sotto il profilo “privacy”.
Come scegliere il DPO: le qualità da ricercare
La complessità della figura in parola è oramai nota, tuttavia, è bene sottolineare alcuni aspetti. Nella scelta bisognerà tener conto della:
- Conoscenza giuridica.
Le abilità da ricercare nella persona che andrà a rivestire il ruolo non devono limitarsi alla pura conoscenza teorica del Regolamento Europeo 2016/679. C’è molto di più! L’ondata del 2018 ha portato molti professionisti (commercialisti, IT, consulenti etc) a cimentarsi in questo ruolo ma la storia della data protection è ben più remota. Le fonti normative spaziano a livello nazionale, europeo ed internazionale. Possono assumere il rango di regolamento ma sono altresì rilevanti le opinion, linee guida, provvedimenti, autorizzazioni generali etc. - Conoscenza tecnico-informatica.
Non facciamoci ammaliare dal “sapere” fine a sé stesso. È necessaria una certa familiarità con le tecnologie informatiche[6]. Lo capiamo dalle attività attribuite al DPO. Ad esempio, per osservare la correttezza del registro delle attività di trattamento elaborato dal Titolare del trattamento bisognerà supervisionare la scelta assunta circa le misure di sicurezza tecniche volte a garantire un livello di sicurezza adeguato al rischio ex art. 32 del GDPR. Si parla sempre di misure di sicurezza tecniche anche per la redazione della valutazione d’impatto (DPIA) sulla quale il DPO potrà essere chiamato a fornire un parere. - Conoscenza del core business dell’organizzazione.
L’elasticità e la duttilità saranno doti ben apprezzata in quanto aiuteranno il DPO a comprendere, con maggiore facilità, la realtà aziendale che andrà a trattare. Ogni settore ha le proprie peculiarità, meccanismi e procedure. Conoscerle a priori agevolerà il canale di comunicazione tra il DPO ed il Titolare/Responsabile del trattamento. - Capacità divulgative.
Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda, contribuendo all’attuazione di tematiche essenziali per la compliance quali privacy by design e by default, i diritti degli interessati, il data breach. - Capacità organizzative.
La conoscenza ed attuazione del “Ciclo di Deming” agevolerà la tabella di marcia da seguire nel percorso di conformità. Pianificare, progettare ed organizzare metterà a proprio agio entrambe le parti.
Nel visionare il curriculum vitae del candidato DPO non soffermiamoci sulle mere qualifiche teoriche. Sono importanti ma non sono sufficienti a comprendere il livello di esperienza. Inoltre, una qualifica prettamente “legal” non sarà esaustiva se guardiamo alle molteplici qualità sopra elencate.
Affidarsi ad un team rappresenta un’ottima soluzione quale connubio di esperienze, professionalità, capacità di più soggetti che contribuiranno, ognuno per la propria parte, a creare un valido e costante rapporto nelle attività di trattamento. A tal proposito, ricordiamo le raccomandazioni del Working Party che suggeriscono una chiara ripartizione dei compiti all’interno del team DPO al fine di prevenire conflitti di interesse.
Note
[1] Cfr. “Codice della disciplina privacy”, Giuffrè Francis Lefebvre, diretto da Luca Bolognini e Enrico Pelino, pag. 269; art. 18.2, dir. 95/46 e art. 13, comma 1, lett. f), Cod. Privacy ante riforma.
[2] Considerando 97 del Regolamento Europeo 2016/679
[3] “… omissis.. nel caso in cui la posizione sia ufficialmente riconosciuta come di livello manageriale, questa deve figurare nell’organigramma ufficiale dell’ente/dell’organismo in questione”, pag. 153, Manuale RPD Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e para pubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea, Elaborato per il programma “T4DATA” finanziato dall’UE.
[4] Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato; vedi anche art. 38, par. 3, del GDPR “omissis.. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.”
[5] Vedasi la pagina tematica sul sito del Garante Privacy rispetto al concetto di accountability. “Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).”
[6] Allegato alle linee guida sul RPD – indicazioni essenziali, pag. 31.
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).”
[6] Allegato alle linee guida sul RPD – indicazioni essenziali, pag. 31.