Punti chiave
Il prossimo 25 maggio entrerà in vigore anche in Italia il GDPR, il nuovo regolamento della privacy così come richiesto dalla Comunità Europea: aziende e pubbliche amministrazioni sono costrette, entro quel termine, ad adeguarsi e recepire il Regolamento (UE) 2016/679.
Una delle figure centrali di questi cambiamenti è il DPO, o Data Protection Officer, una figura designata dal titolare o dal responsabile al trattamento dati, che deve formare e informare i collaboratori di una azienda sul regolamento GDPR e sulle norme da seguire. La sua figura è quella che crea più perplessità alle aziende: si tratta di una figura obbligatoria? E quali sono i suoi compiti?
Il DPO, per ciò che concerne l’Italia, è una figura nuova nell’ambito del trattamento dei dati: fino a questo momento non era richiesto né alle aziende né alle pubbliche amministrazioni di selezionare del personale che si occupasse di verificare che tutto ciò relativo alla privacy occorresse seguendo le normative vigenti. Una differenza molto sensibile rispetto a quello che accade in buona parte degli altri Stati membri e della Germania: il suo responsabile per la protezione dei dati è stato infatti preso ad esempio e modificato per dare vita all’esperto richiesto dalla Comunità Europea.
Il Data Protection Officer o DPO: quando è obbligatorio e cosa deve sapere fare
Sebbene il regolamento indichi in quali casi il Dpo debba essere ritenuto obbligatorio o meno molte aziende faticano a comprendere quale sia il loro ruolo in tal senso: ragione per la quale è necessario fare chiarezza.
La figura del Dpo è obbligatoria da regolamento per:
- Enti pubblici
- Aziende private dove si richieda il “monitoraggio sistematico su larga scala″
- Aziende private dove avviene il “trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati″.
Per ciò che riguarda le pubbliche amministrazioni essa deve essere nominata e sfruttata per verificare che i processi in atto nella stessa seguano il GDPR, pena sanzioni anche gravi. Essa deve essere istituita poi, come anticipato, dalle aziende che lavorano su grandi quantità di dati sensibili di utenti e che eseguono monitoraggio degli stessi su larga scala. Non è stato precisato esattamente che cosa venga inteso con “vasta scala”, ma in linea generale, aziende che trattano dati dal livello regionale in su, possono ritenersi coinvolte.
Allo stesso modo, sono obbligate ad avere un DPO anche aziende che maneggiano tipologie di dati particolari, che sono: razza, opinioni politiche, orientamenti religiosi o filosofici, dati biometrici, dati sulla salute, tendenze e informazioni sessuali, o informazioni relative alla legge.
Un esempio di obbligatorietà della presenza di questa figura? E’ data da banche ed assicurazioni: la tipologia di clientela ed i loro dati sensibili rendono necessaria una risorsa in grado di controllare che tutto venga svolto secondo i dettami europei.
Prima del 2012 e negli anni precedenti alla preparazione del nuovo regolamento entrato in vigore nel 2016, i parametri sui quali si basava la necessità del Dpo erano essenzialmente il numero di dipendenti della società ed il numero di clienti interessati: il nuovo Regolamento sulla Privacy ha eliminato questo approccio, spesso troppo insicuro e non risolutivo, dando spazio ad una struttura meglio definita. Un percorso in qualche modo però ancora incompleto e già ora sottoposto a diverse correzioni, attraverso circolari dedicate ed i consigli del Gruppo europeo dei Garanti ex art. 29 il quale ha composto delle linee guida dedicate rispondendo ai principali quesiti che le aziende si pongono in base o meno all’obbligatorietà di nomina della figura e del suo ruolo.
Se le aziende ritengono di non avere l’obbligo di nominare un data protection officer devono essere in grado di poterlo dimostrare legalmente attraverso la presentazione di documentazione dedicata. In alternativa sono tenute a nominare un DPO e a comunicare il suo nome al Garante per la Privacy.
Come nominare la figura del DPO
Una volta stabilità l’obbligatorietà della nomina del Dpo è importante comprendere come regolarsi per la sua scelta: diverse tipologie di aziende richiederanno una selezione diversa sia nella preparazione generale che nella gestione dei dati. Ciò che non bisogna mai dimenticare è che il Dpo è un supervisore indipendente e che come tale deve eseguire il suo compito, senza pressioni o possibili conflitti di interessi.
Sebbene il data protection officer possa essere una singola persona all’interno dell’azienda, il regolamento permette di nominare anche una persona esterna, o una intera impresa esterna facente funzioni di DPO. Ciò che è importante è che gli incaricati sia in grado di agire indipendentemente nel controllo del trattamento dei dati senza subire pressioni da parte del responsabile e del titolare. E’ quindi bene accetta la creazione di modelli organizzativi che comprendano una figura principale che gestisce uffici dedicati, soprattutto per grandi aziende dalle diverse responsabilità.
Per ciò che concerne i suoi titoli, il Regolamento (UE) 2016/679 non è entrato nel merito, nel tentativo di non limitare la scelta da parte delle aziende di una figura preparata nel proprio settore di appartenenza e per evitare il più possibile che un potenziale conflitto di interessi portasse ad uno sfruttamento illecito di tale figura: in Germania è già accaduto che un Dpo interno si trovasse a dover controllare il proprio lavoro in impresa.
E’ importante comunque che il DPO conosca alla perfezione non solo il Regolamento Europeo GDPR ma anche le principali norme che regolano la privacy anche a livello internazionale e che sia in grado di mantenere un comportamento proattivo, che mira a stabilire delle regole generali, e che sia in contatto con il Garante.
Cosa deve fare un buon DPO?
La figura del data protection officer necessita di chiarimenti anche per ciò che concerne i compiti di cui la stessa dovrà occuparsi. Essi possono essere essenzialmente spiegati in quattro punti ben precisi:
- consigliare ed informare le imprese ed i loro dipendenti sugli obblighi legati al GDPR ed alla normativa nazionale
- sorvegliare che il GDPR venga osservato e controllare le politiche interne di data protection, comprese la sensibilizzazione e la formazione del personale e l’attribuzione delle responsabilità
- fornire quando richiesto un parere sulle modalità di protezione dei dati e osservare la sua messa in atto
- cooperare con le autorità di controllo e funzionare da tramite per dare modo a queste di poter avere un accesso facilitato ai documenti ed alle informazioni necessarie sia per lo svolgimento del suo lavoro che ai fini di indagine.
In tal senso l’azienda deve collaborare completamente e in ogni momento, dando al proprio Dpo l’accesso anche a riunioni in corso in alti livelli manageriali: la risorsa deve poter essere informata di ciò che accade strutturalmente e deve essere in grado di condurre senza intoppi quello che è il suo compito di controllo e consulenza.
Per portare avanti i suoi compiti correttamente, il DPO dovrà controllare che tutta la documentazione aziendale sia in linea con il Regolamento Europeo ed apportare modifiche dove necessario: Ed attraverso lo studio di questionari dedicati ed interviste mirate con i dipendenti, dovrà essere in grado di valutare al meglio la situazione e proporre interventi al management in grado di rendere la società interessata in linea con le norme vigenti.
La responsabilità del DPO in azienda
Per ciò che riguarda le sue responsabilità il Dpo deve rispondere solo di quelle che possono essere potenzialmente le sue mancanze a livello contrattuale, come dipendente se eletto internamente e come collaboratore se selezionato all’esterno dell’azienda.
Dell’inadeguato trattamento dei dati è responsabile il titolare degli stessi: ciò che è basilare per le imprese comprendere è che il Dpo è una figura di supporto chiamata a controllare che le procedure funzionino secondo il GDPR ed i regolamenti statali ancora attivi e non un capro espiatorio in caso di problematiche. Le decisioni in materia di trattamento dei dati ed eventuali violazioni ricadono tutte e completamente sull’azienda stessa.