Diritto e Fisco | Articoli

DPO: cosa fa il data protection officer?

7 Febbraio 2022
DPO: cosa fa il data protection officer?

Quali sono i compiti del responsabile della protezione dei dati? Le attività di formazione e informazione, sorveglianza e monitoraggio, collaborazione e contatto.

DPO: cosa fa il data protection officer? Il DPO (data protection officer) o RPD (responsabile della protezione dei dati) è una figura professionale poliedrica. La commistione di competenze in ambito giuridico nonché tecnico-informatico la rende una figura manageriale a tutto tondo capace di calare nella realtà aziendale molteplici tecnicismi.

Tale funzione si inserisce tra i livelli apicali societari, dovendo essere messa a conoscenza di tutte le attività che implicano trattamento di dati personali. Entra quindi a far parte della governance d’impresa, divenendone baluardo della compliance.

I compiti del DPO

L’analisi proposta mira alla disamina delle attività svolte dal DPO nel coadiuvare il titolare del trattamento dei dati.

Sovviene quindi l’art. 37 del GDPR che, in modo analitico, ne fornisce i compiti “essenziali” (nell’incipit dell’articolo, difatti, si legge “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:”).  Si tratta di un elenco non esaustivo potendo il titolare o il responsabile, di comune accordo col DPO, decidere di svolgere ulteriori incarichi fuori dalla esemplificativa portata normativa. Ad esempio, il titolare o il responsabile del trattamento potrebbero affidare la tenuta del registro delle attività di trattamento, pur rimanendo in capo ai primi la relativa responsabilità.

Dall’interpretazione meramente testuale si ha conferma di quanto poc’anzi accennato: il DPO deve essere considerato parte attiva della compliance aziendale. Dimentichiamo la scorretta visione di mero burocrate preposto all’elaborazione di documenti fini a sé stessi. La “data protection” rappresenta un sistema di gestione che, come tale, è oggetto di analisi ciclica.

Se l’assunto è la collocazione del DPO ai vertici aziendali va da sé che il titolare del trattamento deve condividere con lui la storia aziendale, il kwow-how, l’organigramma, gli asset di cui ci avvale e qualsiasi altro aspetto che possa avere un impatto “privacy”. Il rapporto che si viene a creare è quindi contraddistinto di fiducia e condivisione. Il DPO rappresenta un prezioso agevolatore per tutti gli stakeholder: Titolare e Responsabili del trattamento, interessati, autorizzati al trattamento.

Come propone la migliore dottrina le attività del DPO sono riconducibili a tre macroaree: formazione/informazione, sorveglianza/monitoraggio e collaborazione/contatto.

L’attività di formazione e informazione

Il DPO, a prescindere che sia interno o esterno all’organigramma d’impresa, dovrà inserirsi nell’entourage aziendale per espletare al meglio l’attività divulgativa a tutti coloro che si trovano a trattare dati personali per ragioni d’ufficio.

Il primo passo sarà l’elaborazione di un piano formativo che tenga conto delle differenti professionalità e dei livelli di coinvolgimento (il responsabile HR, ad esempio, sarà maggiormente impattato rispetto al capo reparto di un B2B). Stilato il fabbisogno formativo, si dovrà elaborare una docenza che tenga conto della realtà aziendale, potendo fornire esempi pratici e case per accattivare una maggiore attenzione sensibilizzando così i lavoratori ad un rigoroso rispetto della normativa.

Spesso accade, come in altri ambiti, che la formazione venga vista come un obbligo da assolvere una tantum. Nulla di più sbagliato perché il GDPR parla non solo di formazione bensì anche di informazione che porterà ad una maggiore consapevolezza nell’utilizzo dei device e nell’espletamento dei trattamenti di dati personali.

Per raggiungere l’obiettivo di awareness, il DPO dovrà essere in grado di interagire proficuamente con gli autorizzati al trattamento di dati. Detto obiettivo implica un lavoro di raccolta di informazioni e documentazione: l’organigramma, l’elenco degli asset usati, la lista delle attività di ciascun ufficio/unit, le procedure e policy in atto.

La documentazione citata servirà al DPO per informare gli incaricati sulle best practices da attuare sotto il profilo privacy. Il DPO potrà pensare di attivare una newsletter aziendale con la quale porre l’accento sugli argomenti di maggior importanza: data breach, misure di sicurezza, novità operative conseguenti ai comunicati o provvedimenti del Garante Privacy. In aggiunta, potrebbe risultare interessante, promuovere dei test per verificare il grado di assimilazione di quanto spiegato.

Attività di sorveglianza e monitoraggio

L’attività di sorveglianza e monitoraggio si sostanzia in un controllo sull’osservanza della normativa nazionale, europea ed internazionale da parte del titolare. Il controllo verterà sul registro dei trattamenti, sulla valutazione di necessità e proporzionalità nonché sulle misure di sicurezza tecniche ed organizzative.

Il Regolamento Europeo 2016/679 fa rientrare nell’attività di sorveglianza anche la valutazione di impatto (Data Protection Impact Assessment – DPIA) . Il Gruppo di lavoro ex art. 29 (oggi EDPB), sul punto, chiarisce che la consulenza dovrà riguardare le seguenti tematiche “se condurre o meno una DPIA; quale metodologia adottare, se condurre una DPIA con risorse interne ovvero esternalizzarla; quali salvaguardie applicare, se la DPIA è stata condotta correttamente e se le conclusioni raggiunte siano conformi al RGPD”).

Per svolgere al meglio la predetta valutazione sarà necessario individuare i rischi per poi indicare le misure atte a governarli, scongiurandone il verificarsi. Subentra ancora una volta l’anima poliedrica del DPO che dovrà adottare un approccio pragmatico basato sul rischio, forgiando le metodologie dell’ENISA.

Attività di collaborazione e contatto

L’aspetto garantista si delinea con i compiti di cooperazione del DPO in quanto diverrà, per conto del titolare, l’interfaccia col Garante Privacy. Tramite il registro nazionale dei DPO, l’Autorità potrà contattare il DPO per chiedere chiarimenti oppure l’accesso a documenti ed informazioni ovvero per l’espletamento dell’esercizio dei poteri di indagine, correttivi e consultivi.

Inoltre, il Responsabile della Protezione dei dati potrà fungere da contatto con gli interessati (clienti, fornitori, dipendenti, collaboratori) che potrebbero domandare spiegazioni, anche mediante l’esercizio dei diritti di cui agli artt. 15 a 22 del GDPR, circa la gestione dei loro dati.

Conclusioni

La multidisciplinarità è la caratteristica che più contraddistingue il data protection officer che si trova ad affrontare quesiti coinvolgenti ambiti diversi tra loro. Più il DPO sarà in grado di collimare i diversi ambiti, più il titolare o il responsabile del trattamento saranno in grado di gestire con facilità la materia.

Da ultimo, sovviene ricordare “cosa non deve fare” il DPO: sostituirsi al titolare/responsabile del trattamento ed evitare di far prevale le opinioni ai fatti quindi le decisioni assunte devono trovare riscontro nelle fonti normative (GDPR, Codice Privacy così come modificato dal d.lgs 101/2018, linee guida, provvedimenti), nella giurisprudenza nonché nei codici di condotta e regole deontologiche.



Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube