Se siete alla ricerca di un professionista esperto e certificato UNI 11697:2017 – profilo DPO, per rivestire il ruolo di Data Protection Officer nella vostra organizzazione, nella zona di Viterbo, noi riteniamo che siete arrivati nel posto giusto!

Dapprima vorremmo introdurre alcune informazioni principali in merito a questa importante figura, peraltro già esistente in altre legislazioni, ma portata alla ribalta con la sua adozione nel Regolamento UE 679/2016, agli artt. 37, 38 e 39; quindi ben tre articoli, con i quali il Legislatore Europeo ne ha standardizzato il ruolo, indicando i casi nei quali deve essere nominato, la sua posizione – ed autonomia – all’interno della organizzazione incaricante, ed i compiti attribuiti.

Chi deve nominare un DPO?

I casi nei quali occorre nominare un Data Protection Officer sono indicati all’art. 37 GDPR; a suo tempo abbiamo indicato, con apposito approfondimento, quali organizzazioni debbono dotarsi di un DPO.

Nelle intenzioni del legislatore europeo, appare chiara l’indicazione di nominare un Data Protection Officer in tutti quei casi nei quali il trattamento di dati personali determina – o potrebbe determinare –  particolari rischi per i diritti e le libertà degli individui, come ad esempio negli organismi pubblici, nelle attività di tracciamento on-line o dei comportamenti in modo sistematico, o qualora vengano trattati categorie particolari di dati – in larga scala.https://rossi.team/dpo-soggetti-privati-obbligati-alla-nomina/

In questi 5 anni trascorsi dall’entrata in vigore del RGDP, abbiamo sperimentato come la figura del DPO, intesa nel Regolamento come consigliere, promotore, sensibilizzatore e verificatore, determini anche una tra le più importanti misure di accountability (dimostrazione di responsabilizzazione) tra quelle adottabili dalle organizzazioni.

Inoltre, specialmente nel caso di nomine volontarie (ogni azienda non in obbligo può comunque nominare un DPO su base volontaria) esse rappresentano una forte scelta aziendale e la sua adeguata politica nei confronti della normativa di protezione dei dati personali.

Quali sono le funzioni del DPO?

I compiti – attribuiti dal Regolamento al Data Protection Officer – sono:

  • informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’Autorità di Controllo nazionale(Garante per la Protezione dei Dati Personali);
  • essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

In aggiunta a questo, noi riteniamo che il DPO – in attuazione delle proprie mansioni di promotore e sensibilizzatore in tema di privacy – debba occuparsi direttamente della formazione; quando possibile, svolgiamo le docenze ai seminari formativi, che rappresentano sempre un veicolo formidabile di generazione della cultura privacy aziendale, oltre che momento di confronto e feedback.

Inoltre, dalle esperienze di questi 5 anni, abbiamo visto che è necessario coinvolgere il DPO anche nelle scelte degli strumenti di trattamento, nella valutazione dei rischi e della adozione delle misure di sicurezza (prevenire, quindi comportamento proattivo); pensiamo anche che il DPO debba essere in prima fila nella gestione di un eventuale violazione di dati personali (data breach). Per questo, occorrono valide competenze in ambiti tecnologici ed informatici, cosi come in computer forensic.   

Cosa non è un DPO?

Un D.P.O. occupa una posizione particolare all’interno di un’organizzazione, in quanto deve agire in modo indipendente e non può ricevere istruzioni dirette sul modo di svolgere i suoi compiti. È importante chiarire anche ciò che non è ma soprattutto cosa non fa, per evitare i conflitti di interesse.

Ecco alcuni punti chiave:

  • Non è un decision maker: Il DPO non prende decisioni relative al trattamento dei dati personali. Il suo ruolo è di fornire consulenza e raccomandazioni, ma la decisione finale – così come la responsabilità di esse – permane nel titolare del trattamento.
  • Non controlla i dati né vi accede: Nonostante sia responsabile del monitoraggio della conformità con il GDPR, il DPO non è coinvolto direttamente nel controllo dei dati o nella gestione delle operazioni di trattamento dei dati.
  • Non è responsabile delle violazioni: Sebbene il DPO debba consigliare e promuovere la conformità con la normativa di protezione dei dati, non è personalmente responsabile in caso di violazione dei dati. In tali casi però è il soggetto che deve fungere da punto di contatto con l’Autorità di Controllo e facilitare la comunicazione e l’azione del Garante Privacy.
  • Non è un ruolo operativo: Il DPO non dovrebbe essere coinvolto in attività operative che possano portare a un conflitto di interessi con il suo ruolo di monitoraggio e consulenza. In particolare, non dovrebbe essere incaricato di definire i processi di business che determinano le finalità e i mezzi del trattamento dei dati personali.
  • Non è un ruolo solitario: Anche se il DPO deve mantenere un certo grado di indipendenza, deve assolutamente collaborare con altri dipartimenti e unità organizzative, come il reparto IT, legale, risorse umane, supporto clienti, responsabili esterni ed altri, per garantire una protezione dei dati efficace.
  • Non deve ricevere istruzioni: Il DPO deve essere in grado di svolgere i suoi compiti in totale autonomia, senza ricevere direttive specifiche su come interpretare le leggi sulla protezione dei dati o su come gestire particolari questioni di conformità.
  • Non è un responsabile delle politiche e delle misure adottate: Sebbene il DPO aiuti a formare valide politiche e procedure, ed adottare le opportune misure di protezione, la responsabilità finale dell’adozione e dell’attuazione di tali politiche è del titolare del trattamento. A nostro avviso, esso deve formalizzare la scelta aziendale presa in contrasto con le sue indicazioni.
  • Non è Soggetto a Direzione Gerarchica: Sebbene il DPO (quando soggetto interno) possa avere una posizione gerarchica all’interno dell’organizzazione, non deve ricevere indicazioni su come interpretare la legge sulla protezione dei dati o come applicarla. Questo garantisce che il DPO possa valutare e consigliare sulle questioni di protezione dei dati senza conflitti di interesse. Inoltre il DPO riferisce direttamente al punto più alto dell’organigramma aziendale.
  • Non deve essere sanzionato o penalizzato: Il DPO non dovrebbe essere sanzionato, penalizzato o tantomeno licenziato nello svolgimento dei suoi compiti in conformità con il GDPR, in quanto ciò comprometterebbe la sua autonomia ed indipendenza. Spesso il DPO rappresenta la problematiche sottostanti ad un tipo di trattamento, è il suo ruolo e lo deve fare; diffidate dagli YES MAN, i quali pensano solo alla tranqullità ed a mantenere lo stipendio. Poi, come abbiamo detto, decide sempre l’azienda.

Chi può rivestire il complesso ruolo di DPO?

Le qualifiche e competenze del soggetto chiamato e rivestire il ruolo di DPO sono importanti; anche se il GDPR non specifica titoli di studio o certificazioni abilitanti al ruolo, sono importanti:

  • Conoscenza Specialistica: Uno dei requisiti principali è che il DPO deve avere una conoscenza specialistica del diritto e delle best practicies in materia di protezione dei dati. Questo non implica necessariamente un titolo di studio specifico in diritto o in informatica, ma richiede una comprensione approfondita del GDPR e di altre leggi sulla protezione dei dati, oltre che nelle materie Information Tecnology, Telecomunication e DataProtection;
  • Esperienza Professionale: L’esperienza professionale è altrettanto importante. Il DPO dovrebbe avere una buona comprensione delle pratiche operative, dei processi e delle strutture IT, nonché delle implicazioni legali e tecniche del trattamento dei dati;
  • Competenze Organizzative e Gestionali: Un aspetto fondamentale del ruolo del DPO è la capacità di organizzare, gestire e coordinare efficacemente le attività legate alla protezione dei dati all’interno dell’organizzazione;
  • Capacità relazionali: Il DPO deve essere in grado di comunicare efficacemente a tutti i livelli dell’organizzazione e con le Autorità di Controllo. Questo richiede consolidate competenze comunicative e interpersonali (Soft Skills);
  • Indipendenza: Il GDPR richiede che il DPO agisca in modo indipendente e non riceva istruzioni per quanto riguarda l’esercizio delle sue mansioni. Questo significa che il candidato ideale non dovrebbe avere conflitti di interesse con altri ruoli che potrebbe svolgere all’interno dell’organizzazione.
  • Posizione all’interno dell’Organizzazione: Non c’è una regola fissa su dove il DPO debba essere posizionato all’interno della gerarchia aziendale, ma deve avere accesso diretto ai vertici decisionali per rendere la sua azione efficace.
  • Formazione Continua: La capacità e la volontà di rimanere aggiornati con le ultime evoluzioni nel campo della protezione dei dati è cruciale.

In sintesi, per svolgere efficacemente il ruolo di Data Protection Officer (DPO) occorre possedere  un ampio bagaglio di competenze, tra le quali una profonda conoscenza delle normative sulla protezione dei dati, capacità organizzative e gestionali, indipendenza e autorevolezza, abilità comunicative e interpersonali (le famose soft-skills). Data la complessità e la varietà di queste competenze, è spesso difficile trovare tutte queste qualità in un solo soggetto. Inoltre, occorre effettuare aggiornamento e formazione di alto livello, che spesso soggetti interni alle aziende non riescono ad effettuare. Pertanto, molte organizzazioni decidono intelligentemente di affidarsi a un team di professionisti esterni, che insieme possono garantire l’intero ambito delle competenze richieste per un efficace ruolo di DPO.

Il nostro TEAM dispone delle competenze ed esperienze sinora indicate; siamo inoltre certificati con i vari frameworks internazionali riconosciuti, come ISO 2700x, UNI 11697:2017 ed altri.

Contattateci per un primo incontro non vincolante, oppure per avere una quotazione relativa alle nostre attività professionali che svolgiamo in quasi tutta Italia.