TUTTI GLI ARTICOLI  >  Data Protection

Professione DPO: chi è, cosa fa e quando è obbligatorio il Data Protection Officer

17 settembre 2019 / Di Andrea Antonielli / Nessun commento

Nelle organizzazioni italiane crescono sempre di più le professionalità legate alla gestione della privacy e della security. Tra queste merita un approfondimento quella del Data Protection Officer (letteralmente Responsabile della Protezione Dati), una figura introdotta in Italia dal GDPR per agevolare e garantire il rispetto della normativa.

La designazione di questa figura, in diversi casi, è resa obbligatoria dalla normativa stessa. Un elemento in più, quest'ultimo, che sta contribuendo alla diffusione del DPO all'interno delle aziende italiane. Andiamo a conoscere più da vicino il ruolo del responsabile per la protezione dei dati, analizzando compiti, funzioni, requisiti, obbligatorietà dell'incarico e sua diffusione tra le aziende del nostro Paese. Approfondiremo:

 

Chi è il DPO?

Il DPO svolge un ruolo fondamentale all’interno del nuovo sistema di governance dei dati, trattandosi di figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento GDPR e, in generale, a sorvegliare l’osservanza della normativa europea.

Quali sono i compiti del DPO ai sensi del GDPR?

Il Data Protection Officer nasce per svolgere funzioni diverse, alcune di natura ispettiva e altre di natura consulenziale. Operando sia all’interno dell’organizzazione del Titolare, sia all’esterno, le sue funzioni sono le seguenti:

  • Consulenza - Informare e consigliare il Titolare, il Responsabile del trattamento dati e i loro dipendenti in merito agli obblighi imposti dal GDPR:
  • Vigilanza - Sorvegliare l’osservanza del GDPR e delle policy per la protezione dati adottate dal Titolare o dal Responsabile, inclusi l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale coinvolto nei trattamenti;
  • Fornire Pareri - Fornire un parere in merito alla DPIA (Data Protection Impact Assessment, Valutazione d’impatto sulla protezione dei dati), valutando se sia opportuno condurla e sorvegliandone lo svolgimento dopo aver definito le modalità di esecuzione;
  • Collaborazioni - Collaborare con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso delle Autorità ai documenti e alle informazioni necessarie per lo svolgimento delle loro attività di indagine, correzione, autorizzazione e consulenza attribuite dal GDPR.

 

Requisiti e competenze del DPO

Cosa serve per diventare Data Protection Officer?  Il DPO è molto più di un responsabile privacy, Grazie alle sue attività, infatti, manager e dipendenti coinvolti nel trattamento dati in azienda possono avere un’interpretazione applicativa omogenea della normativa.

Ciò richiede un grande sforzo da parte di questa figura, che deve avere numerose competenze tecniche e strategiche. Nello specifico, il DPO deve essere dotato di competenze:

  • Giuridiche
  • Informatiche
  • Di gestione del rischio
  • Di analisi dei processi

Va detto che non esistono specifiche attestazioni formali per diventare DPO, né è possibile l’iscrizione in appositi albi. Più nel concreto, il DPO deve essere dotato di un livello di esperienza commisurato alla sensibilità, complessità e quantità dei dati, così come deve conoscere in maniera dettagliata la normativa e la prassi in materia di protezione dei dati personali. Inoltre, deve avere una buona conoscenza della struttura organizzativa dell’azienda in cui opera, nonché dei sistemi informativi e delle esigenze di sicurezza e protezione dei dati indicate dall’azienda.

 

Le “responsabilità” del DPO

I requisiti soggettivi e oggettivi di questa figura sono stati specificati, in particolare, nelle Linee Guida sul DPO adottate dal WP29 il 5 aprile 2017 (WP243), illustrando (anche attraverso esempi concreti) le competenze professionali (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati) e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all'interno dell'organizzazione del Titolare.

Il WP29 specifica inoltre che il DPO non è personalmente responsabile in caso di mancato rispetto del GDPR. Infatti sono il Titolare e il Responsabile ad essere tenuti a garantire (e dimostrare) che il trattamento venga effettuato in conformità con il Regolamento Generale sulla Protezione dei Dati. Il DPO non sarebbe, dunque, responsabile in prima persona dell’implementazione della privacy in azienda, ma una figura di controllo priva di responsabilità esecutive.

 

Come nominarlo: DPO interno o esterno?

Il Data Protection Officer può essere individuato tra i soggetti già presenti in azienda oppure selezionato dall’esterno.

  • Vista la natura delle sue competenze e responsabilità, nel caso del DPO interno si sceglie un soggetto tra i vertici dell’organizzazione o anche tra figure intermedie, purché abbiano una conoscenza approfondita in materia di privacy e protezione dati. Ad ogni modo, il soggetto nominato DPO non deve ricoprire, all'interno dell'azienda, un ruolo che gli consenta di determinare finalità e modalità del trattamento, (ad esempio: amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT).
  • Se invece si ricorre ad un DPO esterno, occorre stipulare un contratto che delinei i termini e la tipologia di servizio. Ovviamente questo ultimo punto vale anche per i DPO interni, che devono avere ben chiare le indicazioni sul loro ruolo.

 

Quando è obbligatorio introdurre il DPO?

Per introdurre nel proprio organico la figura del Data Protection Officer occorre valutare alcune condizioni. In particolare, è obbligatorio designare questa figura se:

  • il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico;
  • le attività legate al core business dell’azienda richiedono il monitoraggio costante e sistematico degli interessati su larga scala;
  • il core business dell’azienda consiste nel trattamento su larga scala di dati sensibili e giudiziari.

In seguito alla sua introduzione, occorre rispettare le indicazioni del GDPR per consentire al DPO di operare in maniera autonoma all’interno dell’organizzazione. Infatti, per svolgere adeguatamente la sua funzione, il DPO deve essere tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati e sostenuto nell’esecuzione dei suoi compiti.

 

La diffusione del DPO in Italia

Dopo aver descritto per bene il ruolo del responsabile della protezione dati è bene chiedersi quanto questa figura sia effettivamente diffusa nel panorama italiano.

Il ruolo del Data Protection Office è in crescita costante: nel 2018 ha registrato una crescita del 50% rispetto al 2017, con tassi di penetrazione differenti tra DPO interno o esterno. Nel caso del DPO interno, questo soggetto è presente formalmente nel 65% delle aziende, mentre nel 6% dei casi si tratta di una figura informale. Nel 18% dei casi la responsabilità della protezione dati è affidata ad una figura esterna, mentre solo nel 6% dei casi non esiste o non se ne prevede l’introduzione.

Valutando la presenza del DPO per settore di mercato, emerge che questa figura è presente formalmente nel 95% delle Banche e nell’86% delle aziende assicurative. Segue il settore Utility con un tasso di formalizzazione pari al 69%, mentre in ambito Retail e GDO e Manufacturing si registrano percentuali inferiori, rispettivamente del 45% e del 39%.

Vai al Webinar

Tema:  Data Protection