privacy

Data Protection Officer, un ruolo complesso: il decalogo per evitare errori

Quali sono gli errori che un Data Protection Officer, sia esso interno o esterno, deve assolutamente evitare? Un decalogo che può contribuire a evitare passi falsi nello svolgimento di funzioni altamente complesse e specialistiche

19 Lug 2021
Michele Iaselli

avvocato, docente di Logica e Informatica giuridica - Università di Cassino

privacy

La figura professionale del DPO è contraddistinta da una considerevole complessità per l’alta competenza e specializzazione richiesta. Difatti il DPO è designato in funzione delle qualità professionali, in particolare della co­noscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello pro­fessionale, come noto può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Fare il Data Protection Officer in Italia: un bilancio dei primi tre anni

La dura vita da DPO

Lo stesso DPO deve essere prontamente e adeguatamente coinvolto in tutte le que­stioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabi­le della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Inoltre, il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titola­re del trattamento o dal responsabile del trattamento per l’adempimento dei pro­pri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Ma come ben sappiamo non sempre nella pratica tali disposizioni possono essere applicate in modo agevole e spesso bisogna fare i conti con situazioni molto complesse dove il DPO interno rischia di vedersi pesantemente penalizzato per contrasti con alti dirigenti che, svolgendo un ruolo fondamentale in ambito aziendale, finiscono per condizionare la stessa titolarità poco propensa a difendere il DPO in simili circostanze.

GDPR, un bilancio dei primi tre anni di applicazione: effetti, traguardi e prossimi step

Questo, purtroppo, è solo uno dei problemi che il responsabile della protezione dei dati deve affrontare nello svolgimento quotidiano della propria attività e cerchiamo adesso di capire quali sono gli errori che un DPO sia esso interno o esterno deve assolutamente evitare.

Il decalogo per il DPO

  • Deve creare un clima di consapevolezza circa gli aspetti inerenti la protezione dei dati personali nell’ambito della realtà organizzativa di riferimento. Non dimenticare mai di far presente al titolare del trattamento che la formazione del personale è fondamentale.
  • Contribuire a far crescere quel forte senso di responsabilizzazione nell’ambito dell’articolazione organizzativa del titolare del trattamento coinvolgendo i responsabili delle diverse unità organizzative e dialogando sempre con coloro che sono poi i referenti del titolare. Abbiamo visto che per il DPO interno questa non è un’attività facile, ma va evitato assolutamente qualsiasi contrasto che potrebbe far nascere grosse criticità.
  • Non dimenticare mai che il lavoro del DPO presenta aspetti di interdisciplinarietà fondamentali. Quindi è necessario curare gli aspetti organizzativi, gestionali, informatici, comunicativi senza dimenticare nulla. Anche piccoli accorgimenti possono aiutare il titolare a rispettare quel fondamentale principio di accountability. In sede di ispezione il Garante terrà conto anche di queste attenzioni. Un DPO esterno naturalmente è avvantaggiato sotto questo aspetto, poiché probabilmente è supportato da diversi collaboratori, ma anche il DPO interno, specialmente in realtà organizzative di notevoli dimensioni, deve convincere il titolare del trattamento circa la necessità di costituire un gruppo di diverse professionalità che possano dare una mano al DPO nello svolgimento di questa complessa funzione.
  • Evitare di limitare i rapporti con la titolarità solo attraverso contatti informali, ma documentare tutto ricorrendo a comunicazioni scritte, predisposizione di verbali di riunione, relazioni, garantendo quella tracciabilità che assume la dovuta rilevanza qualora dovessero sorgere dubbi, incomprensioni specialmente conseguenti a problematiche ispezioni.
  • Ricordare al titolare di essere coin­volto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il GDPR prevede espressamente che il DPO vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. Assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua infor­mazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del Regolamen­to e il rispetto del principio di privacy (e protezione dati) fin dalla fase di progetta­zione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno del­la struttura del titolare/responsabile. Inoltre, è importante che il DPO sia annovera­to fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento. Ciò significa che occorrerà garantire:
      • che il DPO sia invitato a partecipare su base regolare alle riunioni del manage­ment di alto e medio livello;
      • la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impatta­no sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le in­formazioni pertinenti in modo da poter rendere una consulenza idonea;
      • che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccor­di, il WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
      • che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
  • Fare attenzione all’atto di nomina/designazione per il DPO interno oppure al contratto per il DPO esterno poiché spesso non ci si attiene ai classici compiti del DPO, ma si chiede anche qualcosa in più. Naturalmente se il compenso è commisurato all’incarico ricevuto che ben venga, ma è necessario che il DPO sappia bene quali sono le ulteriori attività che gli vengono chieste al fine di evitare problemi successivi di incomprensione.
  • Nel caso di DPO esterno evitare di accettare incarichi con compensi irrisori o comunque non adeguati che sviliscono la professionalità e rischiano di banalizzare un lavoro che invece è molto complesso. Per lo stesso motivo nel caso di DPO interno rifiutare categoricamente l’incarico quando lo stesso non ha carattere di esclusività ma viene condiviso con altre incombenze, in caso contrario, il rischio è che le attività cui il DPO è chiamato finiscano per essere trascurate a causa di conflitti con altre priorità.
  • Aiutare il titolare a inquadrare correttamente quei rapporti di contitolarità, responsabilità ex art. 28 del GDPR o comunque anche quei casi di titolarità autonoma che spesso vengono poco considerati. La giusta impostazione delle posizioni soggettive consente poi di evitare errori e facilitare la definizione dei diversi rapporti. In questa attività potranno essere molto utili le recenti linee guida del Comitato europeo sulla protezione dei dati personali.
  • Con riferimento al DPO esterno evitare di assumere un numero spropositato di incarichi relativi a titolari del trattamento lontani territorialmente ed estremamente eterogenei. Un simile comportamento sicuramente non è indice di professionalità e alla lunga può creare molti problemi.
  • A prescindere dagli obblighi del titolare o responsabile del trattamento predisporre un proprio registro delle attività di trattamento che dovrà diventare un punto di riferimento costante della propria attività per monitorare i diversi trattamenti e suggerire le soluzioni migliori.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2