GDPR compliance: se e come scegliere il DPO (Data Protection Officer)



La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai quali scegliere il DPO.

Il ruolo primario del DPO sarà quello di consigliare il Titolare ed il Responsabile del trattamento dei dati personali nell'identificare i rischi derivanti dal trattamento dei dati, quindi un'ottima conoscenza della normativa vigente in materia di privacy e trattamento dei dati personali è un requisito essenziale. In secondo luogo il DPO dovrà fungere da punto di contatto tra l'azienda pubblica o privata che sia e l'autorità garante, inoltre dovrà essere il referente ultimo dell'azienda circa tutte le richieste degli interessati in materia al trattamento dei loro dati personali. Ai sensi dell'art. 13 del regolamento, l'informativa affinché sia valida deve contenere i riferimenti del DPO (telefono, email). L'art. 39 del Regolamento europeo spiega al punto b) quelli che dovranno essere i compiti principali del responsabile della protezione dei dati:
"Sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo"
Nel dettaglio questi compiti comprenderanno:
  • Informare il titolare, il responsabile e gli incaricati sui loro obblighi in materia di trattamento dei dati personali.
  • Sorvegliare la conformità alla normativa vigente ed alle rispettive responsabilità.
  • Occuparsi della formazione del personale sulla consapevolezza legata al rischio privacy.
  • Se richiesto fornire consulenza nella redazione della Privacy Impact Assesment (PIA) e svolgere azioni di sorveglianza sul rispetto delle sue indicazioni all'interno dell'azienda magari operando delle verifiche a campione.
  • Interfacciarsi in caso di necessità con le autorità garanti facendo da punto di contatto tra l'azienda e le istituzioni di garanzia.
Inoltre il regolamento stabilisce che il DPO nell'ambito del suo mandato debba poter interloquire con le figure apicali del management aziendale e debba avere a disposizione il budget necessario per portare avanti i suoi compiti istituzionali come per esempio quello di garantire la formazione del personale sulla consapevolezza del rischio privacy. 

Chiaramente si tratta di un ruolo chiave in qualsiasi organigramma aziendale. 

Quando è necessario dotarsi di un DPO?

Anche qui il regolamento europeo è molto chiaro: il DPO è necessario allorquando il trattamento dei dati è compiuto da un organismo pubblico, quando viene eseguito un trattamento dei dati su larga scala o quando il trattamento riguarda particolari categorie di dati come per esempio i dati relativi alla salute o i dati genetici di un centro di ricerche mediche, i dati relativi all'origine etnica, alle convinzioni politiche o religiose degli interessati. Sebbene il regolamento non stabilisca cosa si intenda per trattamento di dati su larga scala, possiamo assumere che una banca, un'assicurazione, un motore di ricerca che esegua la profilazione degli utenti in rete siano da considerarsi trattamenti su larga scala.

Quindi abbiamo visto che in molti casi sarà necessario dotarsi di un DPO ma quali sono allora i criteri in base ai quali operare questa scelta. Se dovessimo stilare una lista degli skill necessari per la selezione della giusta figura professionale inserirei queste caratteristiche:
  • Conoscenza della normativa nazionale in materia di privacy e trattamento dei dati personali, conoscenza del nuovo regolamento europeo sui dati personali.
  • Conoscenza del ciclo di vita del dato digitale e della relative procedure di sicurezza.
  • Conoscenza dello specifico settore di attività e del contesto nel quale è impegnato l'ente di appartennza: il DPO deve conoscere l'azienda.
  • Buone doti di comunicazione personale e di leadership.
Non è necessario che il DPO sia un giurista né un informatico pur dovendo conoscere materie di entrambi questi ambiti disciplinari. Molto importante che sia un buon organizzatore.

Per molte piccole aziende potrebbe essere complesso scegliere una figura del genere, in questo caso è possibile unirsi ad altre aziende nello stesso ambito merceologico e condividere questa figura professionale.

Quando NON è necessario dotarsi di un DPO?

Il regolamento europeo non richiede che ogni singola organizzazione debba dotarsi di un DPO quindi vediamo quando questo non è necessario:
  • Quando salvo qualche rara eccezione l'azienda non effettua profilazione degli utenti.
  • Quando l'azienda non tratta particolari categorie di dati quali dati relativi alla salute, dati genetici, dati relativi alle opinioni politiche, religiose, alle preferenze sessuali degli interessati. In pratica quando tratta dati comuni.
  • Quando non effettua trattamenti di dati su larga scala, ma piccole basi di dati per la propria attività aziendale.
In tutti questi casi non è necessario dotarsi di un DPO.

Per maggiori informazioni:

Se avete trovato interessante questo articolo e ne volete approfondire degli aspetti potete contattarmi al seguente indirizzo e-mail: privacyofficer@bigazzi.it






Commenti

Post popolari in questo blog

Whistleblower: storia e quadro giuridico di riferimento

Cancellazione sicura: la sanificazione dei dati informatici

Sui cookie ci stiamo giocando la libertà di espressione?