Data Protection Officer

DPO, Chi è il Data Protection Officer e perché è una figura controversa

Come previsto dal regolamento europeo sulla privacy, la figura del DPO – data protection officer è obbligatoria per tutti i ventotto Stati Ue dal 25 maggio 2018. Eppure alcune regole risultano ancora generiche e imprecise. Urgono chiarimenti

24 Giu 2022
Antonino Polimeni

Avvocato, Polimeni.Legal

data protection officer

Tra i principali obblighi previsti dal GDPR c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer. In realtà, il Data Protection Officer rappresenta una figura già nota in molte legislazioni europee. Si pensi, ad esempio, agli ordinamenti anglosassoni dove sono già presenti da anni il Chief Privacy Officer (CPO), il Privacy Officer e il Data Security Officer.

A far data dal 25 maggio 2018 il DPO è obbligatorio per tutti i 28 Stati dell’Unione Europea, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali. Tuttavia questa figura, così importante e qualificata, è ad oggi al centro di questioni controverse e dibattute che hanno dato vita ad una vera e propria opera di interpretazione dei contenuti del Regolamento n. 2016/679. Infatti, in relazione alla figura del DPO, esistono molteplici elementi poco chiari, soprattutto in merito all’obbligo di nomina e alle competenze dello stesso.

Google Analytics, fine di un’epoca? Cosa accadrà, con la rivoluzione privacy

Chi è il Data Protection officer (DPO)

Il Data Protection officer è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy. Sono molte le fonti da cui trarre spunto per comprendere quali sono le caratteristiche di questa figura.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

A livello comunitario, il WP29 ha emanato una linea guida sul DPO, mentre a livello nazionale, il Garante per la protezione dei dati personali ha emanato due diverse FAQ (relative al ruolo di DPO in ambito privato o in ambito pubblico che sono state da ultimo aggiornate nel maggio 2021) In realtà, l’articolo 37 del Regolamento non specifica quali debbano essere le qualità professionali necessarie a rivestire la figura del DPO. Si evince chiaramente, però, che il soggetto prescelto debba possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento.

Nel novembre 2021, l’Autorità garante per la protezione dei dati personali del Lussemburgo, sanzionando una società, ha emanato un criterio molto importante utile a stabilire cosa debba intendersi per “comprovata esperienza”. Si è stabilito che il DPO per poter essere validamente nominato abbia almeno tre anni di esperienza in materia di protezione dei dati personali.

Data protection officer, cosa dice l’articolo 38

Nel caso, poi, di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa. Ciò che invece è certo è che tale figura può essere rivestita, oltre che da un libero professionista, anche da un dipendente del titolare del trattamento (o del responsabile del trattamento). In merito, v’è da condividere una considerazione importante che contribuisce e stimola le polemiche sulla difficile (o forse prematura) attuazione del Regolamento. Esiste infatti una evidente discrasia tra la figura del dipendente, che si porta sulle spalle tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e l’articolo 38 del Regolamento lì dove sancisce la posizione di assoluta indipendenza del DPO. È chiaro che, con questi presupposti, la funzione garanzia richiesta al DPO parte già in evidente difficoltà applicativa.

L’articolo 38 poi rincara: il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. E qui preferiamo una interpretazione più funzionale che “politica”. Il legislatore europeo in sostanza cerca di evitare facili nomine effettuate per affinità (o sovrapposizione) di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT.

I requisiti del DPO

Le FAQ (sul RPD in ambito pubblico) del Garante, rispondono alla domanda di quali siano le qualifiche che deve avere un dipendente per poter essere nominata DPO: nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Allo stesso modo nell’ambito privato, stante un possibile conflitto di interessi, si ritiene che non possa essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane.

Quali sono i compiti del DPO – Data protection officer

Come detto, la responsabilità principale del Data Protection Officer è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, sia pubbliche che private, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Più nel dettaglio, i compiti del DPO sono elencati dall’articolo 39 del Regolamento Europeo sulla protezione dei dati personali il quale stabilisce che tale figura debba:

  • informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
  • controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
  • fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
  • collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.

Quindi il DPO deve essere un professionista dotato anche di qualità manageriali e organizzative, onde poter suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo.

 Per quali aziende è obbligatorio il DPO

A mio parere, in assenza di regole certe, qui perde di fascino l’intero impianto normativo europeo. L’assenza di paletti ben definiti sulla necessità di applicare o meno le regole sul DPO per le aziende private fa prevedere un’applicazione meramente interpretativa, esposta alla totale discrezionalità dell’ente controllore. Ma andiamo con ordine.

Ai sensi dell’articolo 37 del Regolamento Europeo la nomina del DPO è obbligatoria allorquando il trattamento dei dati “venga effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni”. E fin qui nulla quaestio. Sul punto vale la pena solo specificare che gli “organismi di diritto pubblico” sono tutti quegli organismi creati per soddisfare bisogni d’interesse generale a carattere non industriale o commerciale, dotati di personalità giuridica, con una attività finanziata per la maggior parte dallo Stato o da altri organismi di diritto pubblico. Ma l’articolo 37 sancisce l’obbligatorietà della nomina del DPO anche per alcune aziende private.

Ed è proprio qui, nel cuore applicativo della normativa, che le regole divengono generiche e imprecise. L’articolo prevede che sussista l’obbligo di nomina del DPO allorquando la ″core activities″ del titolare del trattamento o del responsabile del trattamento ″consista in trattamenti richiedenti il monitoraggio sistematico su larga scala″ nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento ″riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.

Le attività principali

Che cosa si intende per “attività principali”? L’oggetto dell’attività imprenditoriale o anche uno step necessario per raggiungere lo scopo di essa? L’esempio che si fa più spesso è la clinica privata. L’attività principale è la fornitura del servizio di cura delle persone, ma senza poter trattare i dati (sensibili tra l’altro) dei pazienti, questo non sarebbe possibile. I dubbi restano ma, da avvocato mi chiedo: se in un caso simile, ad un mio cliente venisse comminata una sanzione, questa resterebbe priva di impugnazione? Giammai! La legge parla di “attività principale” ed io devo fare gli interessi dei miei assistiti. Ed ecco lo spreco di risorse da parte della PA, ed ecco l’aumento delle procedure giudiziarie.

Il significato di “larga scala”

Ed ancora, cosa si intende per “larga scala”? A questa domanda ha provato a rispondere il Gruppo dei Garanti Ue (WP 29), chiamato a fornire delle linee guida in merito. Risposta chiara? Macché: “Non è possibile fornire un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala” sebbene non possa escludersi la possibilità, con il tempo, di sviluppare pratiche standard che ne permettano la determinazione quantitativa. Sostanzialmente: “per ora non si sa, poi si vedrà”. E quindi? La normativa sarà in vigore solo formalmente dal maggio 2018, ma per l’effettiva applicazione sarà necessario attendere le “pratiche di standard qualitative” di cui sopra?

In ogni caso, al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi:

  •  il numero di persone interessate ed il volume di dati;
  • la durata dell’attività di elaborazione dei dati;
  • l’estensione geografica dell’attività di trasformazione degli stessi.

L’intervento del Garante privacy

E allora proviamo ad ipotizzare, con tecniche esclusivamente interpretative, chi debba rivolgersi ad un Data Protection Officer. Inutile e scontato dire che, oltre a tutti gli enti locali, chi gestisce big data dovrà adempiere alle direttive della normativa (ma forse già lo fa). Che si forniscano di un DPO anche le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni. E gli studi legali? Alcuni trattano davvero tanti dati personali, migliaia, dati sensibili e giudiziari. A norma di legge forse dovrebbero nominare un DPO (fantascienza). Chi lavora nel marketing e nel webmarketing, chi fa profilazione di dati, chi utilizza landing page, chi fa DEM professionalmente? Direi di sì se il volume dei dati è consistente. E i siti web che fanno numeri importanti? I grandi e-commerce sicuramente devono mettersi a norma, mentre chi utilizza sistemi di analisi di dati di traffico non anonimizzati meglio che si rivolga a società terze per far questo piuttosto che internalizzare il servizio, così da evitare la nomina del DPO.

Il Garante per la protezione dei dati personali ritiene, in ogni caso, che la designazione di questa figura sia comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, in tutti i casi e dunque, anche quando non sussistono i presupposti per la nomina obbligatoria.

P4I - White Paper - privacy by design

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2