Quando venne approvato il testo del Regolamento per la Protezione dei dati personali (meglio conosciuto con l’acronimo in inglese “GDPR”) tra le tante novità introdotte che hanno destato grande attenzione è comparsa la figura del Responsabile della protezione dei dati (meglio conosciuto come il “DPO”, anche per distinguerlo dal “Responsabile del trattamento” ex art 28 GDPR), figura a cui è stata dedicata un’apposita sezione, descritta dagli artt. 37-39.
Nella sua prima fase di implementazione, come del resto per tutto l’impianto del GDPR, ci si è approcciati con sospetto anche a questa figura nuova per il nostro Paese, in quanto in generale non ancora consapevoli della portata innovativa del Regolamento che ha innalzato il livello di compliance ed elevato la corretta gestione dei dati personali a un effettivo valore per le aziende, e non più ad un mero adempimento formale, spesso ritenuto inutile, come spesso era stato fino ad allora.
Nomina del DPO nelle PA, ancora troppe le carenze strutturali di conformità al GDPR: ecco perché
Indice degli argomenti
Il DPO: da ruolo sotto osservazione a figura chiave
La definizione più attinente a quello che è effettivamente il ruolo del DPO è quella del “Garante dei dati all’interno di una organizzazione”: infatti, questo soggetto ha il compito di supportare la corretta gestione dei dati personali dando pareri e verificandone l’applicazione, ricoprendo un ruolo di “controllore” – interno – t pico dell’Autorità Garante per la protezione dei dati, unitamente all’essere un punto di riferimento per i soggetti interessati.
Negli anni il DPO, superata quindi la fase di iniziale diffidenza, grazie anche al fatto che stiamo vivendo la cosiddetta “data driven economy”, ha assunto un ruolo sempre più importante all’interno delle aziende, in quanto si è – finalmente – inteso che la corretta gestione dei dati personali, oltre che un obbligo di legge, è un asset di valore da tutelare e da gestire al meglio, in quanto fondamentale per raggiungere gli obiettivi che un’organizzazione si è data nonché di ridurre i rischi conseguenti al non rispetto della normativa.
Il DPO va consultato, anche in applicazione del principio della privacy by design, prima dell’inizio di un nuovo progetto, così da indirizzarlo correttamente fin dalla fase iniziale, evitando quindi di dover cambiare i piani in corso d’opera oppure di porre in essere attività non in linea con la legge, rischiando quindi, tra le altre cose, di incorrere in sanzioni.
Il ruolo del DPO: le skill necessarie
Per poter svolgere al meglio il ruolo di DPO, oltre ad una approfondita conoscenza della normativa applicabile (la norma cita espressamente “qualità professionali nonché conoscenza specialistica della normativa e delle prassi”), si deve conoscere approfonditamente l’organizzazione presso la quale si svolge l’incarico.
Questo è basilare per poterne indirizzare correttamente le attività che coinvolgono un trattamento di dati personali: essere giuristi competenti in materia di protezione dei dati non è infatti di per sé è sufficiente per poter supportare il business, in quanto bisogna conoscerne le strategie e gli obiettivi aziendali.
Ricordiamoci, inoltre, che tra le attività del DPO vi è anche quella di verifica dei trattamenti in essere, che può essere correttamente svolta solo laddove si sappia dove “mettere le mani”, diversamente potrebbe essere non indirizzata correttamente e di conseguenza inutile.
Incombe sul titolare l’obbligo di fornire tutte le informazioni del caso per poter permettere al DPO di svolgere le proprie funzioni di auditor.
L’efficacia della figura di DPO esterno
Si è molto discusso sulla efficacia del DPO “esterno”, espressamente previsto a livello normativo, ossia non facente parte dell’organizzazione a livello gerarchico ma ingaggiato tramite un contratto di servizi.
Questa soluzione può essere validamente adottata laddove il soggetto incaricato conosca molto bene dove presta il proprio operato, in particolar modo nelle realtà medio piccole, che quindi possano essere conosciute bene anche da chi non le vive quotidianamente.
L’apporto del DPO deve essere non di una mera consulenza, ma di continua guida nel corretto trattamento dei dati personali e un punto di riferimento per l’intera organizzazione.
I consigli per svolgere i compiti di DPO
Il DPO deve avere ottime doti comunicative: è infatti il punto di contatto per i soggetti interessati che vogliono esercitare i propri diritti, nonché il referente per le Autorità.
Questi compiti sono estremamente delicati e laddove non propriamente svolti i rischi per l’ente sono elevati, in primis per i diritti delle persone ed inoltre si pensi ad esempio se non viene dato correttamente seguito ad una richiesta di esercizio dei diritti di un interessato oppure si forniscano informazioni parziali o non veritiere nel corso di una indagine ispettiva.
Il DPO ha infatti una funzione di supporto e garanzia per gli interessati, siano essi dipendenti della organizzazione oppure esterni alla stessa quali ad esempio i clienti: anche a livello di sostenibilità, nella composizione di quelli che ne sono i pilastri (ESG – Enviromental, Social and Governance), avere una corretta copertura da questo punto di vista è sicuramente un punto a favore delle realtà che vogliono distinguersi al meglio.
Per poter svolgere i propri compiti il DPO deve essere dotato di autonomia e indipendenza, anche economica: diversamente non potrebbe operare con quella libertà di azione necessaria per svolgere correttamente l’incarico ricevuto, in quanto, come la realtà ci insegna, talvolta emette anche pareri non “popolari” in quanto non in linea con l’idea che era stata proposta da parte del business.
Tale incarico si può gestire in modo corretto solo laddove, per il DPO “interno”, ci sia una rilevanza a livello gerarchico, venendone riconosciuta quindi dall’intera organizzazione l’importanza e il ruolo.
Il GDPR indica espressamente che il responsabile “riferisce direttamente al vertice gerarchico”, stabilendo quindi la necessità di un riporto con il top management.
Conclusioni
Da figura guardata con circospezione a ruolo strategico per la corretta gestione dei dati personali: il DPO, oltre che alle hard skills scontate in quanto espressamente previste a livello legislativo, deve avere delle soft skills che gli permettano di rendere efficace e di valore il delicato compito che gli viene assegnato.
Capacità comunicative e una buona dose di leadership sono infatti fondamentali.
Se leggiamo con attenzione gli articoli del GDPR che si riferiscono al DPO questi elementi sono indicati: la portata innovativa del Regolamento sta trovando una corretta applicazione grazie ad una buona prassi e al lavoro di indirizzo delle Autorità competenti.