DOMANDA
Leggendo il GDPR e le linee guida sul DPO, non è chiaro se debba essere per il nostro gruppo multinazionale obbligatorio o meno. Sembra di no. Se volessimo provare per i primi mesi a sceglierne uno esterno, come si riesce a giustificare la scelta di un DPO di gruppo esterno nel caso di un complesso gruppo multinazionale a fronte di una scarsa conoscenza dello stesso?
RISPOSTA
L’Autorità garante italiana ha recentemente aggiornato le FAQ sul DPO inserendo una lista di soggetti privati che, nello svolgimento delle loro ordinarie attività di trattamento, sarebbero o meno obbligati a nominarlo. Nell’obbligo di nomina rientrerebbero: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Non sarebbero invece obbligati: liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. Tuttavia, pur rientrando in una delle categorie non obbligate o nei casi dubbi, un DPO resta comunque una misura di sicurezza organizzativa raccomandata (adeguata), anche alla luce del principio di “accountability” e soprattutto se si tratta di un gruppo multinazionale. Inoltre, è vero, un DPO esterno difficilmente riuscirà a conoscere in maniera approfondita tutti i processi aziendali come un DPO interno che vive l’azienda quotidianamente.
Tuttavia, le norme sul DPO del GDPR parlano di un professionista preparato ed indipendente che può esercitare le sue funzioni sulla base di un contratto di servizio stipulato con un individuo o un’organizzazione esterna all’organizzazione del titolare. Anche l’Autorità garante italiana (sempre nelle citate FAQ sul DPO) sostiene la figura del DPO esterno, affermando che deve avere le medesime prerogative e tutele di quello interno e deve operare in base a un contratto di servizi da redigere in forma scritta con indicazione espressa dei compiti attribuiti, delle risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Non bisogna farsi trasportare dal fatto che “interno” sia sinonimo di “fidato”. Da un punto di vista generale molti lavori nelle multinazionali vengono esternalizzati (ad esempio la semplice consulenza legale in ambito GPDR molto spesso viene svolta da soggetti esterni). Valutare la possibilità di esternalizzare tale incarico molte volte potrà risultare favorevole, se si pensa ad esempio che rispetto al singolo (interno alla società) la persona esterna potrà avere, ad esempio, molte risorse a supporto del suo lavoro.
Inoltre, un DPO esterno può vantare la possibilità di servire più efficacemente i clienti con la combinazione di più skill e l’unione delle forze di più persone fisiche che lavorano in team, una visione più ampia del mercato e conoscenza di realtà simili (inclusi competitor).
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
