La checklist del DPO: quali sono le caratteristiche del Data Protection Officer

In più occasioni, abbiamo affrontato la centralità della funzione del Data Protection Officer (o Responsabile della Protezione dei Dati) per l’adeguamento alla normativa in materia di protezione dei dati. 

Figura poliedrica stante i molteplici compiti affidatigli: sorveglianza, consulenza, formazione, informazione e punto di contatto con l’Autorità Garante e con gli interessati.  

Il Garante Privacy, sul punto, ci fornisce alcune importanti delucidazioni per comprendere meglio tale figura, ad esempio ​nell’ambito degli incontri tenutisi  per il Progetto T4 DATA oltre al relativo prontuario elaborato per i DPO pubblici.

La figura del DPO 

Il DPO dovrà innanzitutto conoscere la struttura del Titolare del trattamento.  

Per acquisire consapevolezza dovrà analizzare l’organizzazione, il suo organigramma, la distribuzione interna, l’allocazione delle funzioni e delle responsabilità relative a ciascun trattamento di dati personali, aiutandosi anche con interviste delle figure chiave dell’organizzazione. Sarà inoltre importante acquisire famigliarità con i sistemi ICT utilizzati. 

Rispetto ai rapporti aventi efficacia esterna, invece, dovrà comprendere i legami con i fornitori esterni e con i clienti ove comprendere se l’organizzazione utilizza dei Responsabili e se e quando la stessa agisce come Responsabile nei confronti dei propri clienti.

Passando alla fase centrale dell’audit, il Responsabile della Protezione dei dati sarà chiamato a svolgere almeno le seguenti attività:  

1. Verificare che il Registro dei trattamenti redatto in qualità di Titolare ed il Registro dei trattamenti redatto in qualità di  Responsabile sia , in termini di esaustività e contenga tutte le voci previste dall’art. 30 del GDPR;   
2. Revisionare tutti i trattamenti per valutare la conformità, per ciascuno di essi, al principio di correttezza e liceità;  
3. Analizzare la Valutazione dei rischi predisposta dal Titolare rispetto le attività di trattamento di dati personali, utilizzando, ad esempio, l’approccio delineato dall’ENISA (l’Agenzia UE per la sicurezza delle reti e delle informazioni), che a sua volta si basa sulla norma ISO 27005 (“Minacce, abusi, vulnerabilità in grado di generare pregiudizi per l’ente”). In tale contesto adotterà un approccio basato sul rischio, individuando: il bene o asset da proteggere (con relative vulnerabilità, e controlli), le minacce (profilo dell’agente responsabile della minaccia, probabilità della minaccia) ed impatto (il danno che può derivare). 
4. Esprimere il proprio parere sulle Valutazione di Impatto (DPIA), gestendo i trattamenti che possono comportare un “rischio elevato” (vedasi Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati –  WP248) 
5. Rivisitare le attività sopra indicate in presenza di modifiche, cambiamenti ed aggiunte. 

Il DPO e le possibili violazioni di dati personali 

Terminata le attività che possiamo definire di sorveglianza e consulenza non ci dobbiamo dimenticare l’eventuale gestione delle violazioni dei dati personali, valutando la documentazione prodotta (policy, procedure, raccomandazioni) dal Titolare, ai sensi degli artt. 33 e 34 del GDPR.  

In posizione strettamente connessa al compito di gestione degli incidenti di sicurezza si pone il compito di indagine che comporta un’attenta e scrupolosa registrazione delle valutazioni eseguite, dei risultati e delle motivazioni delle stesse, delle misure di contenimento attuate, della comunicazione ai vertici delle valutazioni e delle misure proposte, delle misure autorizzate.  

Nell’ambito investigativo rientra anche la gestione dei reclami interni ed esterni.  

Sotto il profilo propositivo ed attivo, il DPO dovrà informare, fornire consulenza o elaborare raccomandazioni per il miglioramento pratico della protezione, aggiornando le prassi e le politiche dell’ente, alla luce dei nuovi strumenti giuridici, dei provvedimenti e delle linee guida adottate. Il sostegno e la promozione riguarderanno anche i principi di “Protezione dei dati fin dalla progettazione e la Protezione dei dati per impostazione predefinita”.  

Le mansioni del DPO spazieranno fino alla consulenza e monitoraggio della conformità delle politiche di protezione dei dati rispetto al corretto trasferimento dei dati verso Paesi extra UE (norme vincolanti di impresa, clausole contrattuali, etc) ma anche nella predisposizione, organizzazione, tenuta e verifica dei percorsi formativi all’interno dell’organizzazione. 

Il DPO può anche coadiuvare l’ottenimento di una certificazione da parte della sua organizzazione, raccogliendo o fornendo, all’Ente di certificazione in questione, “ogni informazione ed accesso alle attività di trattamento necessarie a espletare la procedura di certificazione” 

Con la carrellata di attribuzioni sopra esposte possiamo capire che è importante affidarsi a personale competente in grado di rispondere in modo celere e corretto alle molteplici questioni in materia Data Protection.  

La tua organizzazione ha bisogno di una consulenza per la protezione dei dati?

Contattaci per maggiori informazioni!