Il Data Protection Officer (DOP), questo sconosciuto.

Il Data Protection Officer: i chiarimenti del Garante per la Protezione dei Dati in merito a questo ruolo nelle aziende.

Cos’è o meglio, chi è il Data Protection Officer? Come sempre accade in questi casi tutti diventano immediatamente esperti in materia; nonostante ciò il Garante per la Protezione dei Dati Personali ha giustamente ritenuto opportuno fornire diversi chiarimenti che percorreremo in estrema sintesi.

In primo luogo ci viene incontro definendo il responsabile della protezione dei dati personali (RPD) o data protection officer (DPO) come un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) ed è il punto di contatto, anche per gli interessati, per le questioni connesse al trattamento dei dati personali.

Tanti operatori economici, già dalla fine del 2016, e pur in assenza di requisiti definiti, hanno cominciato a rilasciare attestazioni o certificazioni in merito alle competenze dei DPO che frequentavano corsi più o meno qualificati. Il Garante ha più volte comunicato, anche congiuntamente con Accredia, e oggi conferma che non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi. Il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire una professionalità adeguato alla complessità del compito da svolgere e la capacità di progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali. Deve coadiuvare il titolare nell’adozione di contromisure adeguate al contesto in cui opera. Deve agire in piena indipendenza e autonomia riferendo direttamente ai vertici. Deve poter disporre, infine, di risorse necessarie per l’espletamento dell’incarico.

La caccia al DPO si è subito aperta da parte dei soggetti che sono obbligati a disporre di un responsabile, ovvero a coloro il cui core business consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Ad esempio: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Un altro caso poi è quello in cui il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Il Garante per la Protezione dei Dati Personali ha poi anche esemplificato alcuni casi in cui il DPO non è obbligatorio, ad esempio: liberi professionisti; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. È appena il caso di ricordare che, talvolta, valgono ragioni di opportunità anche in assenza di obbligatorietà così come di efficienza. Quest’ultima può essere perseguita anche attraverso la scelta di un DPO di gruppo, a condizione che si rispettino principi di efficacia. Sempre per rimanere nel tema dell’efficienza è utile ricordare che il DPO può ricoprire altri ruoli, a condizione che non vi sia un conflitto d’interessi. In tal senso è preferibile evitare di assegnare tale responsabilità a singoli componenti l’alta direzione o a coloro che sono direttamente esposti al rischio.

Nel variegato e creativo mondo della consulenza sulla protezione dei dati, raramente si ricorda che il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare (o del responsabile) purché si rispettino i principi già discussi e la nomina sia fatta nel rispetto di requisiti formali e sostanziali. Nel caso in cui il compito fosse affidato a soggetti esterni, non si deve sottovalutare il tema della garanzia di effettivo assolvimento dei compiti assegnati. In entrambi gli scenari, il DPO potrà essere supportato anche da un’apposita funzione organizzativa, pur mantenendo la piena responsabilità. È interessante notare che il DPO esterno può anche essere una persona giuridica purché sia chiaramente individuata una persona fisica che interessati e Garante possano contattare.

A ben vedere il ruolo del DPO è cruciale quindi in alcune tipologie di aziende ed ha diversi punti di contatto con altre figure professionali che esercitano un’attività d’indirizzo e controllo. Sta a noi scegliere con cura le persone giuste con cui lavorare e che possono difendere e magari incrementare il nostro valore, anche in virtù della rilevanza della posta in palio.

 

Articolo di Roberto Maggi

Laureato in economia e commercio, MBA all'università Bocconi. Partner di PK Consulting e Probitas Srl, consulente esperto in LeanCompliance ® con ampia esperienza in ambito consulenziale in aziende di diverse dimensioni e molteplici settori merceologici. Membro di diversi organismi di vigilanza ed auditor qualificato.

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]