Il DPO, acronimo di Data Protection Officer (letteralmente Responsabile della Protezione dei Dati) è una figura introdotta in Italia dal GDPR (General Data Protection Regulation), l'ormai consolidato Regolamento europeo sulla protezione dei dati personali. La designazione di questa figura, in diversi casi, è resa obbligatoria dalla normativa stessa. Un elemento in più, quest'ultimo, che sta contribuendo alla diffusione del DPO all'interno delle aziende italiane.
In questo articolo dedicato interamente alla figura del Data Protection Officer, approfondiremo cos’è e cosa fa un Data Protection Officer e quanto è importante il ruolo di un responsabile per la protezione dei dati. Analizzeremo anche i compiti, le funzioni, i requisiti, l’obbligatorietà dell'incarico e la sua diffusione tra le aziende in Italia. Tutto ciò, con l’aiuto fondamentale dell’Osservatorio Cybersecurity del Politecnico di Milano.
Che cos’è un DPO e cosa fa
Il DPO, o Data Protection Officer, svolge un ruolo fondamentale all’interno del nuovo sistema di governance dei dati. Si tratta infatti di figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento GDPR (Regolamento (UE) 2016/679) riguardanti il trattamento e la circolazione dei dati personali.
Quali sono i compiti di un DPO
Il Data Protection Officer nasce per svolgere funzioni diverse, alcune di natura ispettiva e altre di natura consulenziale. Questa figura opera sia all’interno dell’organizzazione del Titolare del trattamento dati che in altre aziende esterne.
Quali sono, però, nel dettaglio i compiti che un Data Protection Officer deve svolgere all’interno di un’azienda? Approfondiamoli nel dettaglio:
- Consulenza, in particolare informare e consigliare il Titolare, il Responsabile del trattamento dati e i loro dipendenti in merito agli obblighi imposti dal GDPR;
- Vigilanza, sorvegliando l’osservanza del GDPR e delle policy per la protezione dati adottate dal Titolare o dal Responsabile, inclusi l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale coinvolto nei trattamenti;
- Fornire Pareri in merito alla DPIA (Data Protection Impact Assessment, Valutazione d’impatto sulla protezione dei dati), valutando se sia opportuno condurla e sorvegliandone lo svolgimento dopo aver definito le modalità di esecuzione;
- Collaborazioni con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso delle Autorità ai documenti e alle informazioni necessarie per lo svolgimento delle loro attività di indagine, correzione, autorizzazione e consulenza attribuite dal GDPR.
Qualità personali e professionali necessarie per un DPO
Dopo aver visto cos’è un DPO e quali sono i suoi principali compiti all’interno di un’azienda, un’altra domanda sorge spontanea: cosa serve per diventare Data Protection Officer? Questa figura è molto più di un responsabile privacy. Grazie alle sue attività, infatti, manager e dipendenti coinvolti nel trattamento dati in azienda possono avere un’interpretazione applicativa omogenea della normativa. Ciò richiede un grande sforzo da parte del Data Protection Officer, che deve avere numerose competenze tecniche e strategiche, in particolare:
- giuridiche
- informatiche
- di gestione del rischio
- di analisi dei processi
Va detto che non esiste una formazione o specifiche attestazioni formali per diventare DPO, né è possibile l’iscrizione in appositi albi. Più nel concreto, il Data Protection Officer deve essere dotato di un livello di esperienza commisurato alla sensibilità, complessità e quantità dei dati. Egli deve anche conoscere in maniera dettagliata la normativa e la prassi in materia di protezione dei dati personali. Inoltre, deve avere una buona conoscenza della struttura organizzativa dell’azienda in cui opera, nonché dei sistemi informativi e delle esigenze di sicurezza e protezione dei dati indicate dall’azienda.
I requisiti soggettivi e oggettivi di un Data Protecion Officer sono stati specificati, in particolare, nelle Linee Guida sul DPO adottate dal WP29 il 5 aprile 2017 (WP243), illustrando – anche attraverso esempi concreti –le competenze professionali (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati) e le garanzie di indipendenza e inamovibilità di cui il Data Protection Officer deve godere nello svolgimento delle proprie attività di indirizzo e controllo all'interno dell'organizzazione del Titolare.
Il WP29 specifica, inoltre, che il DPO non è personalmente responsabile in caso di mancato rispetto del GDPR. Infatti, sono il Titolare e il Responsabile ad essere tenuti a garantire (e dimostrare) che il trattamento venga effettuato in conformità con il Regolamento Generale sulla Protezione dei Dati. Il Data Protection Officer non sarebbe, dunque, responsabile in prima persona dell’implementazione della privacy in azienda, ma una figura di controllo priva di responsabilità esecutive.
Come viene nominato un DPO
Come detto in precedenza, un Data Protection Officer può operare sia all’interno di un organigramma aziendale che al di fuori di esso. Può dunque svolgere il suo compito di responsabile della protezione dei dati in modo indipendente. L’importante, però, è che questa figura si relazioni e dialoghi con la struttura organizzativa dell’azienda in cui opera, ma non solo. È necessario, anche, che abbia conoscenze di sistemi informativi e delle esigenze di Cybersecurity e data Protection dell’azienda.
Qual è la posizione del DPO nell’organigramma
Chi può fare il DPO? Il Data Protection Officer può essere individuato tra i soggetti già presenti in azienda oppure selezionato dall’esterno, soprattutto al fine di assicurare il principio di imparzialità ed evitare possibili conflitti di interessi.
Vista la natura delle sue competenze e responsabilità, nel caso del responsabile della protezione dei dati interno si sceglie un soggetto tra i vertici dell’organizzazione o anche tra figure intermedie, purché abbiano una conoscenza approfondita in materia di privacy e protezione dei dati. Ad ogni modo, il soggetto nominato Data Protection Officer non deve ricoprire, all'interno dell'azienda, un ruolo che gli consenta di determinare finalità e modalità del trattamento, (ad esempio: amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT).
Se invece si ricorre a un DPO esterno, occorre stipulare un contratto che delinei i termini e la tipologia di servizio. Ovviamente questo ultimo punto vale anche per i Data Protection Officer interni, che devono avere ben chiare le indicazioni sul loro ruolo.
La mia organizzazione ha bisogno di un DPO?
Per introdurre nel proprio organico la figura del Data Protection Officer occorre valutare alcune condizioni. In particolare, è obbligatorio designare questa figura se:
- il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico;
- le attività legate al core business dell’azienda richiedono il monitoraggio costante e sistematico degli interessati su larga scala;
- il core business dell’azienda consiste nel trattamento su larga scala di dati sensibili e giudiziari.
In seguito alla sua introduzione, occorre rispettare le indicazioni del GDPR per consentire al responsabile della protezione dei dati di operare in maniera autonoma all’interno dell’organizzazione. Infatti, per svolgere adeguatamente la sua funzione, il responsabile della protezione dei dati deve essere tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati e sostenuto nell’esecuzione dei suoi compiti.
E che cosa accade quando non viene nominato il responsabile della protezione dei dati o la figura non adempie al suo ruolo? A quel punto si incorre in sanzioni da parte del Garante Privacy, come è accaduto a Glovo (sanzionata ad aprile 2020 per 25.000 € dal Garante spagnolo) o al MISE (sanzionato a febbraio 2021 per 75.000 € dal Garante italiano) a seguito della mancata nomina del responsabile della protezione dei dati.
La diffusione del DPO in Italia
Dopo aver descritto per bene il ruolo del responsabile della protezione dei dati è bene chiedersi quanto questa figura sia effettivamente diffusa nel panorama italiano.
Il ruolo del Data Protection Office è in crescita costante nel nostro Paese, con tassi di penetrazione differenti tra DPO interno o esterno. Nel caso del Data Protection Officer interno, questo soggetto è presente formalmente nel 69% delle aziende, mentre nel 31% dei casi la responsabilità della protezione dei dati è affidata a una figura esterna. Anche se la normativa non lo prevede esplicitamente, è bene che questa figura riporti direttamente al Board aziendale. Attualmente, però, questo accade solo nel 51% dei casi, mentre nei restati il DPO riporta principalmente alle funzioni Legal o Compliance.
In termini di budget predisposto per le attività di responsabile della protezione dei dati , nel 2020 è stato previsto un budget dedicato nel 52% delle organizzazioni, mostrando una crescita che conferma le evoluzioni in atto nell’ambito della data protection.
Vuoi approfondire il ruolo del DPO all'interno delle organizzazioni italiane?
- Autore
Ricercatore Osservatorio Cyber Security & Data Protection
Gli ultimi articoli di Andrea Antonielli
-
Cos'è la Crittografia e come protegge dalle minacce online 08 luglio 2024
-
Cyber Crime: cos'è, come affrontarlo e difendersi in azienda 08 luglio 2024
Rimani aggiornato sui trend dell’Innovazione Digitale
Inserisci qui la tua email
Potrebbe interessarti
Articoli più letti