DPO: REQUISITI E CONSULENZA

Con l'entrata in vigore del nuovo GDPR (Regolamento generale sulla protezione dei dati), la figura del DPO (data protection officer) assume una nuova rilevanza. Le aziende che al maggio 2018 non hanno ancora previsto di affidarsi a un DPO saranno chiamate a farlo, in ragione delle nuove esigenze rappresentate dal regolamento GDPR. Questo regolamento, ricordiamolo, è volto a tutelare i cittadini dall'utilizzo abusivo dei propri dati personali, concessi in ragione di particolari attività online, senza un consenso chiaro ed esplicito.

Il DPO: requisiti e compiti

Come hanno dimostrato anche i casi più recenti relativi a Facebook (Marzo 2018, Cambdrige Analytica), l'utilizzo dei dati personali da parte delle aziende è un caso spinoso e delicato. In recenti dichiarazioni tanto Google, quanto Facebook, i due principali attori del web e le più grandi concessionarie pubblicitarie del mondo, hanno dichiarato che la protezione della privacy è il primo obiettivo, la loro missione aziendale.

La figura del DPO però non riguarda solo le grandi realtà, ma tutte quelle aziende che online, in ragione della loro attività, raccolgono e conservano dei dati personali sensibili. La figura del DPO entra proprio in questo meccanismo.

Il DPO è una figura specializzata, preparata, che deve garantire nelle dinamiche aziendali il pieno rispetto della legislazione sulla privacy. Il DPO è quindi un consulente legale esperto in tutela della privacy, una figura moderna, aggiornata, che lavora all'interno o all'esterno dell'azienda.

Le aziende che raccolgono e conservano dati personali sono tenute a nominare un DPO, dal momento che la normativa sulla protezione dei dati personali entra in vigore il 25 Maggio del 2018. Queste realtà sono chiamate a implementare un sistema di protezione dei dati personali, inserendo questo tema all'interno della vita aziendale, rendendolo un asset importante rispetto alla concorrenza. Un'azienda che protegge meglio i dati personali dei propri clienti, fornitori o dipendenti è un'azienda che gode di una migliore reputazione e che rafforza la propria posizione sul mercato.

Il DPO può essere interno o esterno, a seconda delle dimensioni dell'azienda o delle scelte operate dal responsabile del trattamento dei dati personali.

DPO: requisiti, quando è obbligatorio

Il responsabile della protezione dei dati (DPO) è necessario e obbligatorio in questi casi:

Secondo la direttiva del GDPR, per dati personali si intendono tutte le informazioni relative a una persona:

1  Se a svolgere il trattamento dei dati personali è un ente pubblico o una pubblica amministrazione, fatte salve quelle autorità giudiziarie che li trattano nell'espletamento delle loro funzioni;

2  Quando le attività principali dell'azienda consistono proprio nella raccolta e nella conservazione dei dati personali ovvero nel loro monitoraggio;

3  Quando le attività di imprese o di associazioni riguardano la posizione di particolari soggetti sensibili, i cui dati raccolti riguardino lo stato patrimoniale oppure la condizione giuridica degli stessi.

Questa previsione normativa mette al riparo dall'applicazione della normativa sul DPO le piccole Medie Imprese (PMI), che non dovranno affatto ricorrere a questa figura quando nel loro sito web è presente un semplice modulo di contatto. La normativa riguarda invece quelle grandi realtà imprenditoriali che in qualche modo vengono a conoscenza di particolari dati personali, molto sensibili. Pensiamo ad esempio a una fiduciaria, una banca, una società di credito.

Per trattamento di "larga scala" si intende una raccolta di dati su, appunto, larga scala di dimensione regionale, nazionale o internazionale. Siamo di fronte a raccolte di dati la cui protezione è fondamentale in ragione anche del numero di dati conservati. Pensiamo a quelle situazioni, già verificatesi, di piattaforme di videogame alle quali sono state rubate i numeri di carta di credito degli utenti oppure alla violazione delle password di milioni di account di posta Yahoo! Per larga scala il legislatore intende proprio un numero di soggetti elevato, la durata persistente del trattamento, il volume dei dati raccolti nonché la dimensione geografica.

Compiti del DPO

  Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

  Sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

  Supervisionare il processo di acquisizione, conservazione e / o eliminazione dei dati personali, facendo applicare tanto le leggi nazionali, quanto i regolamenti e le direttive europee in materia di privacy.

  Fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 (DPIA, il documento di assessment sulla protezione dei dati).

  Fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Collaborare e comunicare con il Garante per la protezione dei dati personali.

  Supervisionare il processo di comunicazione e documentazione del data breach (incidente di sicurezza).

In concreto, dunque, il DPO è il primo responsabile, ma non l'unico del trattamento dei dati personali. Egli non è solo una figura giuridica, ma anche una sorta di rappresentante dell'azienda in ogni controversia riguardante la tutela dei dati personali. Per questo il DPO coincide con la figura professionale dell'avvocato, l'unica realmente preparata per dirimere e affrontare le questioni sul piano giuridico e legale.

Tuttavia, il DPO non può lavorare in autonomia. Il titolare dei dati personali rimane sempre e comunque il rappresentante legale dell'azienda presso il quale vengono conservati i dati. Egli, in accordo con il DPO, deve mettere a disposizione dell'azienda gli strumenti tecnici che, allo stato dell'arte, rappresentino la migliore soluzione per criptare, conservare ed eventualmente eliminare i dati personali. In assenza di queste misure, il titolare del trattamento dei dati personali non potrà mai dimostrare di avere fatto quanto richiesto dalla normativa del GDPR. Ad esempio, cancellare una persona che faccia valere o il diritto all'oblio oppure quello di opposizione.

Proprio quando la disciplina è stata studiata e impostata, in seno all'Unione Europea, ci si augurava che il DPO fungesse non solo da responsabile della sorveglianza interna, ponendo in essere tutte quelle operazioni che evitano all'azienda la violazione dei dati personali (data breach), ma che fosse anche un comunicatore, una figura di intermediazione. E infatti le aziende e le organizzazioni interessate da una perdita di dati (il cosiddetto incidente di sicurezza) devono individuare la figura a cui fare riferimento entro le 72 ore dall'incidente.

Il DPO si pone come figura centrale, che dev'essere costantemente informata su tutte le questioni inerenti alla tutela dei dati personali e mettere al riparo, egli stesso, il titolare del trattamento dei dati che a lui si affida per ogni genere di controversia e per la gestione quotidiana.

Chi può fare il DPO

Il DPO può essere interno o esterno all'azienda o all'organizzazione pubblica. Dipende dalle dimensioni delle stesse e dal carico di dati raccolti ovvero dalla mole complessiva ("larga scala") del trattamento.

Se all'interno può essere un dipendente con una solida formazione giuridica. La figura dev'essere intesa come indipendente in ogni caso, e non può porsi in conflitto di interesse. Dovrà avere un proprio locale o comunque una postazione sufficiente per adempiere ai compiti richiesti dalla legge. Nelle aziende e negli enti di grandi dimensioni può essere coadiuvato da personale preparato, secondo il budget messo a disposizione per l'ottemperamento degli obblighi di legge.

Nella nomina del DPO le aziende e gli enti, per evitare lungaggini, devono scegliere tra profili professionali di conclamata esperienza legali, al fine di evitare sovrapposizioni con altre mansioni, concedendo tutto il tempo necessario per l'espletamento delle funzioni.

Il DPO esterno è normalmente un professionista o uno studio legale che si occupa dei compiti previsti dal regolamento generale sulla protezione dei dati personali.