Privacy, DPO (Responsabile protezione dati): chi è e come nominarlo

GDPR

Privacy, il DPO: chi è e come nominarlo

Dpo (Data protection officer): lo richiede la nuova normativa europea del GDPR. Per rispettarla occorre non solo una corretta procedura di selezione di questa figura, ma valutare il proprio contesto legale-organizzativo. Ecco requisiti e consigli per la nomina

03 Set 2020
Roberto Benedetto

Avvocato, legal consultant, P4I

Anna Cataleta

Avvocato, Senior Partner P4I


Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO).

Figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che è ora obbligatoria per tutta la pubblica amministrazioni e in alcuni casi anche in ambito privato.

E con l’arrivo del decreto di adeguamento italiano al Gdpr, tutti i tasselli normativi sono al posto giusto perché le organizzazioni italiane, senza più alibi, siano chiamate all’attuazione delle nuove norme. Compresa, appunto, la nomina del DPO.

Cos’è il DPO, le linee guida Garanti privacy

Le linee guida pubblicate dal Gruppo europeo dei Garanti ex art. 29, in consultazione pubblica fino la fine di gennaio 2017, hanno fornito alcune indicazioni su cosa sia il DPO.

Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Il DPO, così come concepito dal legislatore europeo, è da considerarsi un vero e proprio presidio di legalità, indipendenza ed imparzialità che si pone come punto di riferimento – nell’ambito della specifica realtà organizzativa – per l’Authority, per l’interessato e per il titolare.

Peraltro verso, il Data Protection Officer anche in ambito privato ha ruolo pervasivo dovendo essere coinvolto tempestivamente su ogni questione a lui/lei inerente per garantire una protezione dei dati effettiva dei cittadini e al contempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare tutte le attività di attribuzioni dei ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo (p.e. adeguatezza dei piani di audit interno).

Data protection officer, figura nuova ma non troppo

Si tratta quindi di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diversi anni di una funzione privacy che svolge compiti assimilabili al DPO, che necessita di una preparazione specialistica e una formazione continua ma anche di un’esperienza concreta sul campo per supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.

Ma ben vedere la figura del DPO non costituisce una novità assoluta, specie in alcune legislazioni nazionali storicamente più avvezze ad approcci fondati sull’accountability.
Sebbene la direttiva 95/46/CE, infatti, non prevedesse alcun obbligo di nomina di un DPO alcuni Stati membri (come la Germania) avevano già previsto una figura a questi assimilabile facendo tesoro delle prassi virtuose affermatesi nel corso degli anni.

Clicca qui e richiedi subito una Demo!

I casi in cui il DPO è obbligatorio

L’art. 37 par. 1 del GDPR, stabilisce tre casi specifici in cui la designazione del DPO è da considerarsi obbligatoria:

  • nel settore pubblico: la nomina di un DPO è sempre obbligatoria (fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni),
  • nel settore privato: la nomina di un DPO è obbligatoria quando il titolare effettua, nel contesto delle proprie “attività principali”: i) trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala; ii) trattamenti “su larga scala” di categorie particolari di dati personali di cui all’art. 9 (dati particolari), o di dati relativi a condanne penali e a reati di cui all’art. 10.

Obbligo a nominare il Dpo in ambito privato (aziende)

In ambito privato, l’articolo 37 co. 1 lett. b) del regolamento europeo prevede quindi l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico, rientrano per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare per premi  assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà, ecc. ecc..

Il DPO in ambito privato è obbligatorio anche per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) oppure dati giudiziari su larga scala, rientrano in tale previsione ospedali, assicurazioni e istituti di credito eccetera.

A seconda della complessità del contesto organizzativo in cui dovrà operare, il DPO dovrà essere anche in grado di gestire questioni inerenti le diverse giurisdizioni.

Ne consegue che questa figura diviene inevitabilmente portatore di interessi differenti, spesso confliggenti, e suo è il difficile fardello di bilanciarli e contemperarli.

A prescindere dai casi mandatori di cui all’art. 37 GDPR la nomina del DPO può avvenire anche quando la stessa sia ritenuta opportuna in ragione delle peculiarità della realtà in cui opera il singolo titolare.

La somma dei due fattori suesposti ha spinto l’Autorità Italiana a redigere un’agile ed esauriente pagina informativa fornendo informazioni utili, raccomandazioni e good practices dedicando particolare attenzione alle diverse sfumature del ruolo svolto dal DPO in ambito pubblico e in quello privato.

Perché nominare il Dpo anche quando non obbligatorio

Nelle sue FAQ, Il Garante incoraggia la nomina di un DPO anche quando tale figura non sia obbligatoria per legge, essendo tale designazione un elemento determinante ai fini anche alla luce “del principio di “accountability” che permea il Regolamento”.

Tale tesi è stata corroborata dal pool dei Garanti Europei che sottolineano come il DPO rappresenti una figura in grado di “facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese”.È importante sottolineare che la nomina di un DPO di per sé, non può in nessun caso considerarsi un elemento autosufficiente a dimostrare la compliance di un’azienda al GDPR: un DPO di “mera facciata”, privo delle competenze e dell’esperienza necessaria a svolgere le sue funzioni e/o che non sia messo nell’oggettiva condizione di operare non può essere considerato in linea con le finalità per cui il Regolamento ha istituito tale figura.

La nomina, inoltre, non sposta il centro di imputazione della responsabilità volta a garantire la conformità al regolamento europeo che resta pertanto in capo al titolare.

Quanti sono i data protection officer in Italia

Ad oggi in Italia sono stati circa 60.000 i DPO nominati, nel conto vanno inseriti anche quelli designati in tutta fretta tra marzo e maggio 2018 con prevedibili conseguenze sotto il profilo della idoneità professionale di taluni soggetti a svolgere questo delicatissimo ruolo.

I compiti del Dpo

La figura ideata dal legislatore europeo è complessa e multiforme e deve svolgere compiti di vigilanza e consulenza agevolando la coerente attuazione dei principi del GDPR.

Il DPO è infatti chiamato a svolgere all’interno della singola realtà aziendale attività analoghe a quelle che il Garante nazionale e l’EDPB svolgono a livello italiano ed europeo.

L’art. 39 del GDPR enumera un fitto elenco di attività a carico del DPO prevedendo che questi si occupi di svolgere “almeno” i seguenti compiti:

  • informare e fornire consulenza al Titolare del trattamentoo al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
  • sorvegliare l’osservanza della normativacomunitaria e nazionale nonché delle politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei datie sorvegliarne lo svolgimento;
  • cooperare con l’autorità Garante nazionale;
  • fungere da punto di contatto per l’autorità Garante nazionaleper questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Va da sé che il volume delle mansioni assegnate ex lege al DPO comporta che il professionista designato sia in possesso di un’adeguata competenza specialistica, un certo grado di esperienza nell’industry in cui opera il titolare, ed eccellenti capacità manageriali.

Deve anche essere un ottimo “comunicatore” in grado di “contagiare” l’intera organizzazione in cui opera con la consapevolezza in materia data protection così da creare un’awarness capillarmente diffusa in tutto il tessuto aziendale.

Il DPO, insomma, deve possedere un set di hard e soft skills ben determinato che fanno di questa figura un vero e proprio manager della governance dei dati e della gestione delle risorse a questo scopo predisposte.

A questa attività “istituzionale” si affianca un attività di supporto continuativo nella quotidiana attività di conduzione e governo dei processi “data protection” anche tramite la proposizione di specifiche sessioni formative, e l’utilizzo di tool e piattaforme innovative per la gestione degli adempimenti data protection, strumenti di supporto, ormai indefettibili per un’efficace gestione dei processi suddetti.

Un ruolo a tutto tondo, dunque, che ingloba e vivifica le competenze tipicamente riscontrabili nei consulenti e le arricchisce con l’autorevolezza di una figura manageriale indipendente che si fa ponte tra le organizzazioni e le Autorità.

Scelta e nomina del DPO (interno o esterno), i criteri

Stando alla lettera del Regolamento, al titolare è lasciata libera scelta di optare per un DPO interno o scegliere invece uno esterno. 

Dal punto di vista strettamente funzionale queste due alternative potrebbero essere considerate del tutto equivalenti poiché la natura stessa della figura in analisi reagisce in maniera analoga; ciò che fa la differenza è ovviamente la realtà operativa del contesto in cui il DPO opera a seconda del suo status di “insider” o “outsider” con inevitabili ripercussioni a livello gestionale ed organizzativo.

Scegliere un Dpo interno

In un mondo ideale il DPO interno dovrebbe trovarsi in un’indiscutibile posizione di vantaggio poiché è parte del tessuto aziendale e conosce processi e dinamiche da un punto di vista privilegiato e ciò gli consentirebbe di svolgere le sue funzioni con maggiore agilità.

D’altro canto, il DPO interno- a dispetto di qualsivoglia monito del legislatore in relazione alla assoluta necessarietà del suo “status” di figura super partes – potrebbe trovarsi a soffrire una mancanza di indipendenza, in quanto l’organizzazione potrebbe non essere culturalmente matura ad accettare comportamenti di totale autonomia gestionale, e a svolgere attività in conflitto di interessi stante la diffusa prassi di utilizzare risorse già preposte a queste attività.

Proprio onde evitare un conflitto di interessi, sono da considerarsi manifestamente incompatibili con il ruolo di DPO tutti quei soggetti che ricoprono “una posizione di vertice di una determinata funzione aziendale” quali a titolo esemplificativo, chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane e direzione IT.

In ogni caso, la bussola che può agevolare il titolare del trattamento nella sua scelta è sicuramente quella fornita linee guida del WP29 (WP 243 rev.01), le quali hanno ricevuto l’endorsment formale dell’EDPB.

Un criterio generale, sicuramente in grado di offrire un parametro oggettivo e rispettoso della ratio dell’istituto, è quello per cui la scelta del DPO non deve ricadere su quei soggetti che ricoprono ruoli che comportano la determinazione di finalità e modalità di trattamento di dati personali.

Va da sé che, al fine di preservare le sue caratteristiche di autonomia e indipendenza, il DPO interno deve essere inserito nell’organigramma aziendale come figura apicale e pertanto avere una retribuzione adeguata al suo ruolo e che gli permetta di conservare un certo grado di autonomia.

Scegliere un Dpo esterno

Da quanto appena esposto è facile comprendere che inanellare tutti i requisiti richiesti dalla normativa per l’individuazione di un DPO interno è un’attività ardua e rischiosa, tanto più che gli stessi devono persistere nel tempo e non venir in nessun modo depotenziati a seguito di mutamenti all’interno dell’organizzazione.

Nel caso in cui cultura, processi e risorse aziendali non consentano tale inquadramento e il DPO interno si trovasse, per qualsivoglia ragione, subordinato ad altre figure che si collocano tra lui e i vertici sarebbe meglio optare per la designazione di un DPO esterno.

In quanto professionista sostanzialmente estraneo all’organizzazione aziendale il DPO esterno gode di un’ampia autonomia, non è soggetto alla pressione del business e dei vertici aziendali.

D’altra parte potrebbe godere di una “vista” sui processi interni all’organizzazione meno privilegiata del suo omologo che invece agisce all’interno probabilmente anche a causa della istintiva e, tutto sommato, comprensibile diffidenza nei confronti degli “outsiders” da parte dei membri dell’organizzazione aziendale.

Onde evitare tali inconvenienti e per garantire il successo delle sue attività è necessario che vi sia un chiaro commitment del board che deve introdurre il DPO alle altre cariche aziendali e ai responsabili dei dipartimenti interessati, così da consentirgli di rivolgersi a tutti gli interlocutori che possono fornirgli le informazioni necessarie allo svolgimento della sua funzione.

È utile altresì far passare all’interno dell’organizzazione il messaggio per cui il DPO esterno, proprio perché estraneo alle dinamiche aziendali e assolutamente super partes, può fornire una visione lucida e disinteressata su alcuni temi “caldi” (pur sempre nei limiti del suo ruolo) ed appianare le inevitabili tensioni interne dovute al contemperamento di interessi di business ed esigenze di compliance.

Nominare un DPO esterno potrebbe agevolare il ricorso a competenze trasversali ove questi possa offrire un “team” multidisciplinare (di solito composto da professionisti dalle competenze diversificate e verticali in ambito giuridico, organizzativo e ICT), in grado di reagire repentinamente e su più fronti in situazioni di criticità.

La vera forza di un team DPO multidisciplinare si dispiega sicuramente durante le tanto temute visite ispettive dell’Autorità, in cui la capacità dei vari membri dello staff di far fronte in maniera proattiva e chirurgicamente competente alle richieste degli Ispettori fa la somma con la visione per così dire “olistica” ed autorevole del DPO che diviene un vero e proprio co-regista assieme ai Pubblici Ufficiali di un lavoro ispettivo solitamente organizzato, sereno ed efficiente.

Indipendentemente dalla nomina di un DPO interno o di un DPO esterno, il titolare non può prescindere dalla formazione specialistica e dalla sua pregressa esperienza nella industry di riferimento.

La formazione e le competenze del Dpo

La figura del DPO, così come è stata concepita dal legislatore europeo, è una figura multiforme che per svolgere le sue funzioni necessita di una formazione multidisciplinare tecnico-giuridica.

Per poter svolgere le sue funzioni in conformità al dettato del legislatore europeo, il DPO deve essere esperto dei sistemi dell’informazione, avere competenze gestionali ed organizzative innestate ad una solida formazione giuridica.

Il DPO è infatti prima di tutto un legale con competenze giuridiche specifiche del settore in cui opera l’azienda del titolare (ad esempio se il titolare è una PA il DPO deve avere competenza ed esperienza nell’ambito del diritto pubblico ed amministrativo) a cui dovrebbe aggiungersi una conoscenza informatica e una propensione alla gestione e all’organizzazione dei processi e delle risorse.

Il DPO, oltre ad essere un esperto in materia di data protection, deve essere competente anche nelle diverse branche del diritto che assumono rilevanza nel corso di uno specifico trattamento.

Per comprendere la reale complessità del ruolo del DPO è sufficiente pensare allo stravolgimento dell’assetto aziendale di molte realtà nel periodo della pandemia e di come il DPO sia stata una figura chiave nella riorganizzazione delle procedure e dei sistemi aziendali per consentire la prosecuzione delle attività da remoto durante i mesi del lockdown.

Il ruolo da giurista del DPO emerge con altrettanta chiarezza nel delicatissimo contesto delle Amministrazioni Pubbliche.

Il recente affair relativo ai bonus erogati dall’INPS e percepiti da alcuni amministratori pubblici e parlamentari è uno degli esempi più chiari dell’estrema tecnicità del ruolo svolto dal DPO pubblico, che deve sempre trovarsi nelle condizioni di conoscere esattamente le normative di dettaglio, come in questo caso sono quelle sottese al bilanciamento tra diritto alla protezione dei dati e alla riservatezza e quello alla trasparenza.

Nomina del DPO, errori da non fare

Dall’esperienza di questi mesi, emergono alcuni errori tipici nella scelta del DPO:

  • Considerare la nomina un mero adempimento formale
  • La ricerca del massimo risparmio
  • Scegliere una figura non indipendente, in conflitto di interesse

Si rinvia al seguente articolo per un approfondimento

Nomina del Data Protection Officer, le peggiori pratiche che abbiamo visto

Lo scenario europeo

Gli ultimi, drammatici mesi sono stati certamente lo specchio della maturità del complesso framework in materia di protezione dei dati personali a livello europeo.

Autorità EU, Istituzioni, professionisti e norme hanno dovuto superare la proverbiale “prova del fuoco” di una emergenza impredicibile nei suoi effetti e nella sua capacità di sconvolgere la quotidianità di ciascuno di noi. Non stupisce che fra i contagiati dagli effetti del COVID-19 ci sia anche la “privacy”.

In questo contesto così drammatico è apparso sempre più chiaro quanto fosse importante raggiungere un equilibrio nel contemperare diritti diversi meritevoli di tutela come, ad esempio, il diritto alla salute e il diritto alla privacy.

Un ruolo di primo piano è spettato ai DPO che hanno dovuto diffondere il complesso reticolo di norme e linee guida europee e nazionali nelle organizzazioni in cui operano e supportare proattivamente i titolari nella loro implementazione.

Le guidelines della Commissione Europea e dell’EDPB, le raccomandazioni del Garante Europeo, i working-tools dell’eHealth Network concordano sull’indiscusso ruolo di primo piano dei DPO negli imprescindibili adempimenti rappresentati da DPIA e balancing test da effettuare ogniqualvolta una strategia d’azione “anti-covid” rischi di minacciare il delicato sistema di pesi e contrappesi consacrati nelle carte fondamentali UE e Nazionali dei diritti fondamentali.

All’orizzonte una nuova, stimolante sfida attende i Data Protection Officer dell’intera Unione Europea, quella scaturita dall’abolizione del Privacy Shield da parte della Corte di Giustizia Europea a seguito dell’ormai noto caso Schrems II.

Gli impatti sul business di migliaia di aziende, la scelta degli strumenti da adottare, la validazione delle strategie relative al trasferimento dei dati extra UE vedranno come protagonisti indiscussi i DPO.

Checklist del DPO Cosa monitorare per avere tutto sotto controllo. Scarica la checklist

In conclusione

Sulla base della recente esperienza è facile comprendere come il diritto alla privacy non possa essere concepito come “un’isola” ma come questo sia strettamente collegato ad altre branche del diritto in cui il DPO funge da ponte supportando il titolare affinché questi possa operare scelte in linea con i principi sanciti nel regolamento.

Il DPO, in conclusione, è una sorta di “mini garante” in seno ad una realtà aziendale o ad un ente e deve saper operare come l’Autorità avendo un’attitudine proattiva nell’indicare soluzioni e vie per operare in conformità ai principi della normativa europea.

Per essere compliance occorre pertanto non solo una corretta procedura di selezione del candidato DPO, ma occorre valutare il proprio contesto legale-organizzativo che deve garantire una corretta gestione delle problematiche che inevitabilmente si porranno non solo in termini di indipendenza e di assenza di conflitto di interessi ma per una corretta integrazione del DPO con le altre funzioni dell’organizzazione.

Articolo 1 di 4