Professione DPO: chi è, cosa fa e quando è obbligatorio il Data Protection Officer

12 luglio 2021 / Di Andrea Antonielli / 0 Comments

Il DPO, acronimo di Data Protection Officer (letteralmente Responsabile della Protezione Dati) è una figura introdotta in Italia dal GDPR, l'ormai consolidato Regolamento europeo sulla protezione dei dati personali.

La designazione di questa figura, in diversi casi, è resa obbligatoria dalla normativa stessa. Un elemento in più, quest'ultimo, che sta contribuendo alla diffusione del DPO all'interno delle aziende italiane. Andiamo a conoscere più da vicino il ruolo del responsabile per la protezione dei dati, analizzando compiti, funzioni, requisiti, obbligatorietà dell'incarico e sua diffusione tra le aziende del nostro Paese. Approfondiremo:

 

Chi è il DPO e di che cosa si occupa?

Il DPO svolge un ruolo fondamentale all’interno del nuovo sistema di governance dei dati, trattandosi di figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento GDPR e, in generale, a sorvegliare l’osservanza della normativa europea.

Compiti e incarichi del DPO ai sensi del GDPR

Il Data Protection Officer nasce per svolgere funzioni diverse, alcune di natura ispettiva e altre di natura consulenziale. Operando sia all’interno dell’organizzazione del Titolare del trattamento dati e altre esterne. Ecco i compiti del DPO nel dettaglio:

  • Consulenza - Informare e consigliare il Titolare, il Responsabile del trattamento dati e i loro dipendenti in merito agli obblighi imposti dal GDPR:
  • Vigilanza - Sorvegliare l’osservanza del GDPR e delle policy per la protezione dati adottate dal Titolare o dal Responsabile, inclusi l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale coinvolto nei trattamenti;
  • Fornire Pareri - Fornire un parere in merito alla DPIA (Data Protection Impact Assessment, Valutazione d’impatto sulla protezione dei dati), valutando se sia opportuno condurla e sorvegliandone lo svolgimento dopo aver definito le modalità di esecuzione;
  • Collaborazioni - Collaborare con l’Autorità di controllo e gli interessati, fungendo da punto di contatto per facilitare l’accesso delle Autorità ai documenti e alle informazioni necessarie per lo svolgimento delle loro attività di indagine, correzione, autorizzazione e consulenza attribuite dal GDPR.

Data Protection & Compliance: ecco tutto quello che c'è da sapere!

Scopri il Programma

 

Diventare DPO: requisiti e competenze

Cosa serve per diventare Data Protection Officer?  Il DPO è molto più di un responsabile privacy. Grazie alle sue attività, infatti, manager e dipendenti coinvolti nel trattamento dati in azienda possono avere un’interpretazione applicativa omogenea della normativa.

Ciò richiede un grande sforzo da parte di questa figura, che deve avere numerose competenze tecniche e strategiche, in particolare:

  • giuridiche
  • informatiche
  • di gestione del rischio
  • di analisi dei processi

Va detto che non esistono specifiche attestazioni formali per diventare DPO, né è possibile l’iscrizione in appositi albi. Più nel concreto, il DPO deve essere dotato di un livello di esperienza commisurato alla sensibilità, complessità e quantità dei dati, così come deve conoscere in maniera dettagliata la normativa e la prassi in materia di protezione dei dati personali. Inoltre, deve avere una buona conoscenza della struttura organizzativa dell’azienda in cui opera, nonché dei sistemi informativi e delle esigenze di sicurezza e protezione dei dati indicate dall’azienda.

 

Le “responsabilità” del DPO

I requisiti soggettivi e oggettivi di questa figura sono stati specificati, in particolare, nelle Linee Guida sul DPO adottate dal WP29 il 5 aprile 2017 (WP243), illustrando (anche attraverso esempi concreti) le competenze professionali (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati) e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all'interno dell'organizzazione del Titolare.

Il WP29 specifica inoltre che il DPO non è personalmente responsabile in caso di mancato rispetto del GDPR. Infatti sono il Titolare e il Responsabile ad essere tenuti a garantire (e dimostrare) che il trattamento venga effettuato in conformità con il Regolamento Generale sulla Protezione dei Dati. Il DPO non sarebbe, dunque, responsabile in prima persona dell’implementazione della privacy in azienda, ma una figura di controllo priva di responsabilità esecutive.

 

Come nominarlo: DPO interno o esterno?

Chi può fare il DPO? Il Data Protection Officer può essere individuato tra i soggetti già presenti in azienda oppure selezionato dall’esterno, soprattutto al fine di assicurare il principio di imparzialità ed evitare possibili conflitti di interessi.

  • Vista la natura delle sue competenze e responsabilità, nel caso del DPO interno si sceglie un soggetto tra i vertici dell’organizzazione o anche tra figure intermedie, purché abbiano una conoscenza approfondita in materia di privacy e protezione dati. Ad ogni modo, il soggetto nominato DPO non deve ricoprire, all'interno dell'azienda, un ruolo che gli consenta di determinare finalità e modalità del trattamento, (ad esempio: amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT).
  • Se invece si ricorre ad un DPO esterno, occorre stipulare un contratto che delinei i termini e la tipologia di servizio. Ovviamente questo ultimo punto vale anche per i DPO interni, che devono avere ben chiare le indicazioni sul loro ruolo.

 

Quando è obbligatorio introdurre il DPO?

Per introdurre nel proprio organico la figura del Data Protection Officer occorre valutare alcune condizioni. In particolare, è obbligatorio designare questa figura se:

  • il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico;
  • le attività legate al core business dell’azienda richiedono il monitoraggio costante e sistematico degli interessati su larga scala;
  • il core business dell’azienda consiste nel trattamento su larga scala di dati sensibili e giudiziari.

In seguito alla sua introduzione, occorre rispettare le indicazioni del GDPR per consentire al DPO di operare in maniera autonoma all’interno dell’organizzazione. Infatti, per svolgere adeguatamente la sua funzione, il DPO deve essere tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati e sostenuto nell’esecuzione dei suoi compiti.

E che cosa accade quando non viene nominato il DPO o la figura non adempie al suo ruolo? A quel punto si incorre in sanzioni da parte del Garante Privacy, come è accaduto a Glovo (sanzionata ad aprile 2020 per 25.000 € dal Garante spagnolo) o al MISE (sanzionato a febbraio 2021 per 75.000 € dal Garante italiano) a seguito della mancata nomina del DPO.

 

La diffusione del DPO in Italia

Dopo aver descritto per bene il ruolo del responsabile della protezione dati è bene chiedersi quanto questa figura sia effettivamente diffusa nel panorama italiano.

Il ruolo del Data Protection Office è in crescita costante nel nostro Paese, con tassi di penetrazione differenti tra DPO interno o esterno. Nel caso del DPO interno, questo soggetto è presente formalmente nel 69% delle aziende, mentre nel 31% dei casi la responsabilità della protezione dati è affidata ad una figura esterna. È rilevante anche la posizione organizzativa di questa figura, che – anche se la normativa non lo prevede esplicitamente – è bene che riporti direttamente al Board aziendale, ma attualmente questo accade solo nel 51% dei casi, mentre nei restati il DPO riporta principalmente alle funzioni Legal o Compliance.

In termini di budget predisposto per le attività di DPO, nel 2020 è stato previsto un budget dedicato nel 52% delle organizzazioni, mostrando una crescita che conferma le evoluzioni in atto nell’ambito della data protection.

 

Vuoi approfondire il ruolo del DPO all'interno delle organizzazioni italiane?

Guarda il Webinar

  • Autore

Ricercatore Osservatorio Cyber Security & Data Protection