Definiamo la figura di Data Protection Officer
DPO, acronimo ben conosciuto, ma ruolo poco chiaro agli occhi di molti. All’interno di questo articolo parliamo di cosa consiste il ruolo di DPO, quali aziende hanno l’obbligo a nominare tale figura e come si diventa Data Protection Officer.
Chi è realmente il DPO?
Che ruolo ha all’interno di aziende e/o pubbliche amministrazioni?
Soprattutto Come si diventa DPO?
Per poter rispondere alle domande più frequenti su questa figura professionale è necessario fare una piccola premessa introducendo quello che vuole essere un diritto sacrosanto dell’individuo: la privacy.
I primi riferimenti in termini di privacy sono legati alla Convenzione Europea dei diritti dell’uomo che già stabiliva come non può esservi ingerenza di un’autorità pubblica nell’esercizio del diritto alla propria libertà individuale, a meno che tale ingerenza sia prevista dalla legge in quanto misura necessaria: per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale e per la protezione dei diritti e delle libertà altrui.
Questo fondamentale concetto è stato poi riportato ed espanso in vari accordi internazionali, come ad esempio quello di Schengen, ed anche nella Carta dei diritti fondamentali dell’Unione europea che all’art. 8 così recita:
- Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
- Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
- Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente
Tra le fonti comunitarie contenenti riferimenti alla privacy vi è in primis la Direttiva madre sulla protezione dei dati 1995/46/CE del Parlamento europeo e del Consiglio, che è stata sostituita successivamente dal Regolamento UE 2016/679 del Parlamento Europeo.
Stiamo parlando del Regolamento UE noto come GDPR concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di essi. Il Regolamento è entrato in vigore il 24 maggio 2016 e divenuto applicabile in tutti gli Stati membri a partire dal 25 maggio 2018. Tra le novità introdotte da tale nuovo regolamento generale sulla protezione dei dati si segnala l’introduzione ex novo della figura professionale Responsabile della Protezione dei Dati (RPD), o più comunemente chiamata in lingua inglese, Data Protection Officer (DPO).
Introducendo questa nuova figura denominata DPO all’interno di aziende pubbliche e private, con ruoli, compiti e obblighi ben definiti, fin dal principio è stato importante sottolineare come, per poter essere nominata, dovesse possedere un’approfondita conoscenza della normativa, delle prassi in materia di privacy e dovesse conoscere il settore di riferimento dell’azienda in cui operava.
Chi è il DPO?
Nella sezione 4 del GDPR si definisce la necessità di avere una figura particolare e molto importante, il Data Protection Officer (DPO) che si aggiunge a quelle “classiche privatistiche” quali Titolare del trattamento e Responsabile del trattamento.
Il Data Protection Officer rappresenta una nuova figura professionale incaricata di assicurare una corretta gestione dei dati personali, nel rispetto delle norme vigenti sia nazionali che europee. La figura del DPO può essere interna o esterna all’azienda (pubblica o privata che sia), tenendo presente che l’errore statisticamente più frequente riguarda la nomina di persone con un conflitto di interessi pendente rispetto alla funzione di DPO.
L’articolo 38 del Regolamento dice infatti: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni.
Il Titolare del trattamento o il Responsabile del trattamento si assicura che tali compiti e funzioni non diano adito ad un conflitto di interessi.”
Il DPO è una figura super partes, che non può svolgere altri compiti e funzioni subordinati al “controllo” dello stesso; la sua posizione quindi sarebbe incompatibile poiché coinciderebbe il suo ruolo di “controllore e controllato”.
Alla luce di quanto detto, il ruolo di Responsabile della protezione dei dati personali può essere ricoperto sia da un dipendente del Titolare del trattamento o del Responsabile del trattamento che conosca appieno la realtà dell’azienda privata o dell’ente pubblico, sia da un soggetto esterno (di norma una persona giuridica), a condizione che garantisca l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. La nomina del DPO interno avviene tramite atto di designazione, mentre la nomina del DPO esterno avviene tramite la sottoscrizione di un contratto di servizi.
Obbligo di nomina oppure no?
L’art. 37 del Regolamento Europeo precisa e pone l’attenzione sul fatto che il Titolare del trattamento ed il Responsabile del trattamento debbano obbligatoriamente individuare un responsabile della protezione dei dati (DPO) ogniqualvolta che:
- il trattamento dei dati personali sia realizzato da un ente pubblico o da un’autorità pubblica;
- le attività principali dell’organizzazione privata consistano in trattamenti che, per loro natura, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali dell’organizzazione privata consistano nel trattamento, su larga scala, di dati sensibili di cui all’articolo 9 o di dati giudiziari di cui all’articolo 10.
“In particolare il DPO è previsto per tutte le strutture sanitarie pubbliche e private, in quanto assicurare un’adeguata assistenza medica implica necessariamente il trattamento dei dati sensibili dei pazienti.”
“A maggior chiarimento, di seguito vengono elencate alcune imprese ed attività tenute obbligatoriamente alla nomina di un DPO:
società di revisione contabile; società di recupero crediti; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; imprese assicurative; istituti di credito; sistemi di informazione creditizia; società finanziarie; istituti di vigilanza; società di informazioni commerciali; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Invece non sono obbligati ad assumere un DPO le seguenti categorie di soggetti:
i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Di cosa si occupa il DPO?
Il ruolo del DPO è quello di supervisionare, consigliare e formare i dipendenti circa l’utilizzo dei dati personali, controllando che questo avvenga nel rispetto delle norme in vigore.
Perché Il DPO possa operare in modo efficace ed efficiente, il Titolare ed il Responsabile del trattamento devono coinvolgerlo in tutte le attività in cui è previsto il trattamento di dati personali; allo stesso tempo però non devono interferire con il suo lavoro.
Il Data Protection Officer deve essere assolutamente indipendente nelle scelte e nelle decisioni senza che nessuno, nemmeno il Titolare o il Responsabile, possa fornire istruzioni su come procedere. In sintesi, quella del Data Protection Officer è una figura di elevato livello professionale, in possesso di doti manageriali, che gode di ampia autonomia e che deve essere coinvolta in tutte le questioni riguardanti la protezione dei dati personali.
Definiamo ora quelli che sono i compiti del DPO, elencati nell’Art. 39 del Regolamento Europeo sulla protezione ed il trattamento dei dati personali, che stabilisce che tale figura debba:
- informare e consigliare il titolare ed il responsabile del trattamento, nonché tutti i dipendenti, di ogni obbligo di legge derivante dal Regolamento europeo o da ulteriori normative dell’Unione Europea;
- verificare e controllare l’attuazione e l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento;
- fornire una valutazione periodica sulla protezione dei dati e collaborare con le autorità di controllo, fungendo così da punto di contatto per il Garante per la protezione dei dati personali.
L’attività del Data Protection Officer può essere considerata sia interna alla struttura (punti 1) e 2)), oppure esterna, in quanto punto di contatto con le autorità di controllo (punto c)).
Come si diventa DPO?
Per poter svolgere l’attività riservata alla figura di Responsabile della protezione dei dati, e di conseguenza diventare un professionista DPO, è necessario poter attestare l’acquisizione di competenze specialistiche in materia di data protection.
Una delle modalità più performanti per avviare la fase di acquisizione di tali competenze è quella partecipare ad un corso di formazione dalla durata di almeno 80 ore, sul tema della data protection orientato in maniera specifica all’esercizio delle funzioni del DPO.
I percorsi formativi di alto livello, una volta completato il ciclo didattico e ottenuto l’attestato di partecipazione (in seguito solitamente al superamento di un test finale), prevedono anche il sostenimento di un esame da parte di un ente terzo, quale certificatore accreditato, in grado di attestare in maniera imparziale le competenze acquisite dai corsisti.
I percorsi formativi in materia possono ritenersi di eccellenza nel momento in cui gli enti formativi che li erogano sono in grado di fornire un “parco docenti” dotato di tutte le competenze teoriche e pratiche necessarie al corretto svolgimento del ruolo descritto.