A quasi diciotto mesi dall’entrata in vigore del GDPR (General Data Protection Regulation) il ruolo del DPO, il Data Protection Officer o Responsabile della Protezione dei Dati in italiano, continua ad essere al centro di un animato dibattito.
Ancora non è stata individuata una connotazione precisa per questo ruolo e non sono perfettamente a regime le modalità di interazione con i ruoli del titolare e del responsabile del trattamento.
Tuttavia, sebbene il GDPR metta il titolare del trattamento al centro del governo della protezione dei dati personali, il DPO (una sorta di “Garante in casa”) rimane il punto di riferimento dello stesso titolare nell’assicurare una piena conformità al Regolamento UE oltre che una piena valorizzazione del patrimonio informativo.
Il presente articolo illustra come la figura del DPO si sia evoluta, già prima del GDPR, in parallelo alla crescente sensibilizzazione sulla privacy e sulla protezione dei dati personali ed alla conseguente evoluzione della legislazione in tale ambito: dopo una breve sintesi dei compiti che il GDPR attribuisce al DPO, verranno identificate le competenze necessarie per affrontare l’attività sul campo e descritti i modelli attualmente adottati dalle diverse realtà aziendali anche in settori di mercato differenti, cercando di comprendere anche quali siano le difficoltà ed i vincoli che la figura del DPO incontra nella propria realtà quotidiana.
Questo percorso trae origine dalle esperienze del passato, ma con l’obiettivo di fare un punto della situazione sul ruolo del DPO e cercando di dare una visione sulla sua evoluzione futura. Nel compiere questo percorso ci aiuteranno illustri personaggi del settore ed importanti associazioni di categoria che hanno fornito il loro autorevole parere sulla tematica in oggetto.
Indice degli argomenti
Quadro normativo sulla figura del Data Protection Officer (DPO)
Una figura antesignana del Data Protection Officer è stata prevista per la prima volta in Europa nella legislazione tedesca (in particolare nello stato dell’Hessen ) nel 1970. Tuttavia, un ruolo molto vicino all’attuale apparve per la prima volta all’orizzonte negli Stati Uniti d’America dove venne istituita negli Anni 90 la figura del cosiddetto “Privacy Officer”. I primi esempi di impiego di tale figura si hanno rispettivamente nel 1991 con Jennifer Barrett della Acxiom, una società di servizi di informazione, e nel 1999 con Ray Everett della società AllAdvantage specializzata in servizi pubblicitari su Internet. Questa nuova figura fu istituita a seguito delle preoccupazioni dei consumatori sull’utilizzo dei propri dati personali e per una migliore gestione delle crescenti norme in tema di privacy. Ray Everett nel suo profilo LinkedIn si definisce come “il primo Chief Privacy Officer nell’era di Internet.”
L’amministrazione americana del Presidente Obama, nel 2013, conferisce all’avvocato statunitense Nicole Wong l’incarico di affiancare il Chief Technology Officer della Casa Bianca sui temi della privacy e della protezione dei dati personali. L’avvocato Wong aveva precedentemente ricoperto l’incarico di Responsabile dell’ufficio legale di Twitter ed era stata impiegata negli uffici legali di Google dove aveva gestito una causa molto spinosa tra Google ed il governo turco. Si trattava dunque di una figura controversa, spesso osteggiata; questa situazione l’ha costretta a lasciare l’incarico nell’agosto dell’anno seguente.
Nell’ambito del diritto del Consiglio d’Europa, l’articolo 10, paragrafo 1, della Convenzione n. 108 modernizzata attribuisce ai titolari e ai responsabili del trattamento l’obbligo di adottare tutte le misure appropriate per essere conformi alle norme in materia di protezione dei dati previste dalla Convenzione ed essere in grado di dimostrare che il trattamento dei dati sia sotto il loro controllo.
La Convenzione non indica nello specifico quali siano le misure che i titolari e i responsabili del trattamento devono adottare; tuttavia la relazione esplicativa della Convenzione n. 108 modernizzata indica che la nomina di un Data Protection Officer potrebbe essere una misura potenzialmente idonea a dimostrare il rispetto della Convenzione.
I Data Protection Officer dovrebbero pertanto disporre di tutti i mezzi necessari per l’adempimento del loro mandato.
Nella Direttiva 95/46/CE, la figura del DPO viene indicata all’art. 18.2: “[omissis] qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato della protezione dei dati, a cui è demandato in particolare:
- di assicurare in maniera indipendente l’applicazione interna delle disposizioni nazionali di attuazione della presente direttiva;
- di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all’articolo 21, paragrafo 2,
garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai diritti e alle libertà della persona interessata. [omissis]”.
Inoltre, il Considerando 49 della stessa Direttiva getta le basi per l’indipendenza di tale figura:
C (49) “[omissis] detto incaricato della protezione dei dati, dipendente o meno del responsabile del trattamento, deve essere in grado di esercitare le sue funzioni in modo del tutto indipendente”.
Ancora, nel Regolamento CE 45/2001 la figura del DPO viene nuovamente definita e dettagliata nei compiti dall’art 24. In questo regolamento si riportano tutti gli elementi che confluiranno poi nel GDPR: compiti del DPO, sua imparzialità, competenza, necessità di disporre di risorse adeguate allo svolgimento delle precipue funzioni.
Diversamente dal diritto del Consiglio d’Europa, nell’Unione Europea la nomina di un DPO non è discrezionale ma è resa obbligatoria in situazioni specifiche (rif. Art. 37 GDPR “Designazione del Responsabile della Protezione dei Dati”).
Il GDPR riconosce al DPO un ruolo fondamentale nel nuovo sistema di governance della privacy e dei dati personali e prevede disposizioni dettagliate per quanto riguarda la sua nomina (art. 37), la posizione (art. 38), i compiti e le funzioni (art. 39).
In Italia, il 4 giugno 2015, il Garante per la Protezione dei Dati Personali ha pubblicato le Linee guida in materia di Dossier sanitario, nell’ambito delle quali ha precisato che “in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (cosiddetto DPO – data protection officer), anche in relazione ai casi di data breach”.
Successivamente, a seguito dell’entrata il vigore del GDPR, il Codice privacy 196/03 è stato emendato con il D.lgs. 101/2018 che all’art. 2-sexiesdecies estende la figura del DPO anche ai trattamenti effettuati dalle autorità giudiziarie nell’esercizio delle loro funzioni.
I compiti del Data Protection Officer
Come anticipato nel precedente paragrafo, la figura del DPO viene descritta nel Capo IV, Sezione IV artt. 37, 38 e 39 del GDPR.
Nel dettaglio, l’art. 37 riporta le condizioni per le quali la designazione del DPO è obbligatoria. Di particolare interesse, per le nostre considerazioni, sono i paragrafi 5 e 6 nei quali si ribadisce che:
“[omissis] 5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. [omissis]”.
L’art. 38 è relativo alla posizione del DPO. Questo articolo è di fondamentale importanza perché in sintesi stabilisce:
- l’obbligo per il titolare e/o responsabile del trattamento di mettere a disposizione del DPO tutte le risorse di cui ha bisogno per lo svolgimento delle proprie mansioni;
- l’obbligo per il titolare e/o responsabile del trattamento di mettere a disposizione del DPO tutte le informazioni ed evidenze relative alla protezione dei dati personali;
- l’indipendenza del DPO, al punto tale che non deve ricevere “alcuna istruzione per quanto riguarda l’esecuzione di tali compiti” né può essere rimosso o penalizzato per l’adempimento dei propri compiti;
- la necessità di mettere il DPO a riporto del vertice gerarchico;
- la funzione di mediazione del DPO tra interessati e titolare;
- l’obbligo di riservatezza per il DPO;
- la possibilità che il DPO svolga altri compiti o mansioni purché non sussista un conflitto di interesse.
Da ultimo, l’art. 39 riporta i compiti specifici della figura del DPO. Vale la pena esaminare nel dettaglio la norma in questione, perché sarà poi la base per stabilire quali sono le necessarie competenze professionali (o profilo professionale) per lo svolgimento di questo ruolo.
In particolare, il paragrafo 1 dell’art. 39 stabilisce che il DPO deve:
“a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”
Gli articoli 35 e 36, citati nel testo dell’art.39 paragrafo 1, riguardano rispettivamente l’obbligo per il titolare del trattamento di effettuare un’analisi di impatto (o DPIA – Data Protection Impact Assessment) per i trattamenti a maggior rischio di impatto su libertà e diritti fondamentali degli interessati e l’obbligo di consultazione dell’Autorità per la Protezione dei Dati Personali, per il tramite del DPO, laddove non siano state individuate misure di mitigazione in grado di abbattere tale rischio.
In entrambe le attività è fondamentale l’intervento del DPO che viene solitamente coinvolto nella DPIA soprattutto in vista della possibile consultazione dell’Autorità Garante, nell’ambito della quale il DPO deve poter rappresentare eventuali scelte organizzative e/o tecniche.
Sempre l’art. 39, al paragrafo 2, riporta quanto segue:
“2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.”
Questa indicazione rende evidente il fatto che il Data Protection Officer deve avere una specifica conoscenza del settore di mercato e della realtà aziendale nella quale deve svolgere la propria funzione, dal momento che le proprie valutazioni devono tenere in considerazione tutti i possibili vincoli di varia natura (ad esempio operativi, economici, organizzativi) connessi allo specifico trattamento dei dati personali.
Competenze professionali del Data Protection Officer
Tutti e tre gli articoli del GDPR appena descritti concorrono a definire il profilo professionale del DPO. Tuttavia, prima di analizzare le competenze distintive del DPO, si vuole fare un riferimento al cosiddetto e-CF o European e-Competence Framework.
Lo European e-Competence Framework è un framework di riferimento delle competenze ICT (Information & Communication Technology) che è stato adottato in Europa dalle principali aziende del settore ICT per regolare la domanda e l’offerta di personale, professionisti, manager e dipartimenti delle risorse umane, pubblica amministrazione, soggetti del mondo della formazione e partner sociali.
Il framework è valido a livello europeo ed è stato sviluppato da un vasto numero di esperti Europei dell’ICT e delle Risorse Umane nell’ambito del “CEN Workshop on ICT Skills”. Il workshop mette a disposizione una piattaforma di discussione e lavoro per rappresentanti nazionali ed internazionali provenienti dall’industria ICT, organizzazioni di formazione professionale pubbliche, partner sociali e altre istituzioni. Esso punta a creare soluzioni di lungo termine per lo sviluppo delle risorse umane e delle competenze dell’Information and Communication Technology per l’Unione Europea.
Il Framework, giunto ormai alla terza edizione, è strutturato in quattro “Dimensioni”. Queste Dimensioni riflettono differenti livelli di requisiti di business e di pianificazione delle risorse umane e integrano linee guida per la definizione dei livelli di abilità lavorative.
In Italia l’ente di normazione UNI ha rilasciato nel 2017 la norma UNI 11697 – Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza basata proprio sul Framework europeo e-CF che dettaglia 4 diverse figure professionali operanti nel mondo della Protezione dei Dati Personali e tra queste proprio quella del Responsabile della Protezione dei Dati (Data Protection Officer o DPO).
Associato a questa norma esiste anche un protocollo di certificazione volontaria riconosciuto da Accredia, che, come noto, è l’Ente di Accreditamento per l’Italia, i cui compiti e funzioni sono disciplinati dall’art. 43 paragrafo 1 del GDPR dedicato ai meccanismi e agli organismi di certificazione che si riporta di seguito:
“Fatti salvi i compiti e i poteri dell’Autorità di controllo competente di cui agli art. 57 e 58, gli organismi di certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e rinnovano la certificazione, dopo aver informato l’Autorità di controllo al fine di consentire alla stessa di esercitare i suoi poteri (a norma del paragrafo 2, lettera h) ove necessario.
Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o da entrambi dei seguenti organismi:
- dall’autorità di controllo competente ai sensi degli artt. 55 o 56;
- dall’organismo nazionale di accreditamento designato in virtù del Regolamento (CE) n. 764/2008 del Parlamento e del Consiglio conformemente alla norma EN-ISO/EC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’Autorità di controllo competente ai sensi degli art. 55 o 56”.
Possiamo dunque affermare che tutte le competenze distintive di un DPO siano effettivamente indicate nella UNI 11697:2017 e che la certificazione relativa sia esaustiva per la definizione della figura del DPO?
È noto a tutti (molti articoli sono stati scritti al riguardo) che il Garante per la Protezione dei Dati Personali non ha riconosciuto uno specifico schema di certificazione della figura del DPO, ma sicuramente la UNI 11697:2017 è allo stato attuale un utilissimo strumento per ottemperare a quanto richiesto dall’art. 37 paragrafo 5 del GDPR:
“5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”
Allo stato attuale in Italia risultano 522 Data Protection Officer certificati UNI 11697:2017 (dati Accredia).
A livello internazionale esistono altri percorsi di certificazione. I più conosciuti sono quelli offerti dallo IAPP (International Association of Privacy Professional) quali il CIPP (Certified Information Privacy Professional), CIPM (Certified Information Privacy Manager) e CIPT (Certified Information Privacy Technologist) che prevedono specializzazioni sulla realtà Europea.
Tornando ora ad una disamina puntuale dei compiti che il GDPR attribuisce al DPO sulla base di quanto indicato dall’art. 39, appare chiaro come questa figura non possa avere solo una connotazione specialistica in un determinato settore (ad esempio giuridico) ma debba invece caratterizzarsi come una figura multidisciplinare con competenze almeno nei seguenti ambiti:
- giuridico/amministrativo: con conoscenza approfondita della legislazione italiana, europea e specifica del settore di mercato o settore pubblico nel quale svolge la propria attività;
- manageriale: per poter gestire le molteplici attività alle quali è demandato con il coinvolgimento di diversi stakeholder sia interni all’organizzazione nella quale opera, sia esterni (interessati, Authority) nello specifico settore di mercato o settore pubblico;
- relazionale e di comunicazione: ai fini della gestione della comunicazione nell’ambito di un ecosistema, a volte estremamente strutturato, con interlocutori di natura diversa rispetto ai quali vanno mantenuti livelli di comunicazione adeguati e/o vanno indirizzate adeguate azioni di formazione/awareness. Tale competenza è assolutamente indispensabile, ad esempio, nello svolgimento dell’attività consulenziale;
- Project/Program Management: per l’azione di coordinamento delle attività che ricadono nella propria sfera di competenza (es. piano di formazione, eventuali azioni di continuous improvement che coinvolgono numerosi stakeholder, contingency plan a seguito di data breach, esecuzione di un piano di controlli);
- tecnico-Informatiche: queste competenze sono necessarie per poter interagire con le strutture ICT e soprattutto con le funzioni demandate alle gestione della Sicurezza. Si pensi ad esempio al coinvolgimento di un DPO in un Data Breach oppure nell’esprimere un parere per una DPIA: è assolutamente necessario che il DPO comprenda la natura e l’efficacia delle soluzioni tecniche messe in campo;
- Risk Management: come indicato nell’art. 39 del GDPR al comma 2 “il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
- economico: nell’era in cui i dati rappresentano uno degli asset fondamentali delle aziende, il DPO deve essere in grado di valutare il valore economico delle informazioni coinvolte nei trattamenti del proprio titolare/responsabile ed indicare l’adeguatezza delle azioni messe in campo per la mitigazione del rischio d’impatto sugli interessati.
- auditing: per poter svolgere il compito di “sorveglianza” circa l’applicazione del GDPR, come indicato nell’art. 38 del Regolamento Europeo.
Dunque, siamo di fronte ad una figura professionale estremamente complessa dove la multidisciplinarietà è tratto distintivo e dove le numerose competenze, tutte necessarie, devono essere più o meno sviluppate a seconda della realtà organizzativa nella quale si opera.
Ricordiamo tutti la sentenza del TAR del Friuli-Venezia Giulia del 13/9/2018 nella quale si affermava in sintesi che il DPO è un profilo “eminentemente giuridico”. Questa sentenza era in realtà circoscritta ad uno specifico bando per il ruolo di DPO dove era stato dato peso prevalente ad alcune certificazioni tecniche quali quella da Lead Auditor 27001:2013.
Eppure, questa sentenza è stata cavalcata da molti per ribadire proprio quanto le competenze giuridiche siano caratterizzanti per il DPO, arrogando il diritto di ricoprire tale ruolo ad una ben determinata categoria di soggetti.
Alla luce di quanto appena esposto appare evidente che le sole competenze giuridiche, seppure “ingrediente” necessario per il DPO, non sono tuttavia sufficienti allo svolgimento di questo ruolo.
Di questo parere sono molti illustri esponenti del settore privacy e protezione dei dati personali. Possiamo citare ad esempio il Prof. Francesco Maria Pizzetti (ordinario di diritto costituzionale all’Università degli studi di Torino e presidente dell’Autorità Garante per la privacy tra il 2005 e il 2012) che in un articolo pubblicato su Agenda Digitale del 2017 evidenzia che il DPO non può prescindere da competenze giuridiche ed amministrative ma che lo stesso deve anche possedere competenze specifiche e specialistiche dettate dalla peculiarità dei trattamenti posti in essere dal titolare.
Quest’ultimo è quindi un metro efficace per la valutazione dell’adeguata preparazione del DPO che ha designato e che è funzione dei trattamenti di dati personali in essere.
Ancora, intervenendo al Global Risk Forum di Business International nel 2018, lo stesso Prof. Pizzetti ha ribadito che nonostante il titolare abbia una responsabilità fondamentale nell’individuare i trattamenti di dati personali da riportare nel registro dei trattamenti, a partire dai processi aziendali, e nell’effettuare un’analisi di rischio costante per ciascun trattamento, è chiaro che “ dentro alla valutazione dell’impatto di rischio, si colloca il DPO (Data Protection Officer), una figura specifica che non è il Risk Protection Officer o il Chief Security Officer: è una figura che deve avere competenze giuridiche legate alla protezione dei dati personali e, allo stesso tempo, al core business aziendale. Non sarà una figura informatica, ma una figura con competenze giuridiche che dialogherà con le figure informatiche in azienda, seguendo l’articolo 5 del regolamento che descrive la protezione del processo”. E aggiunge: “Il DPO è colui che verifica che i processi siano sicuri, che le persone siano formate, che i corsi di formazione siano effettivamente svolti”.
In Italia alcune associazioni di categoria stanno fortemente spingendo sulla necessità della multidisciplinarietà del DPO.
Tra esse si segnala l’associazione UNIDPO – Unione Nazionale Italiana Data Protection Officer (www.unidpo.it) , nata nel 2018 a seguito della prima edizione del “Corso di Alta Formazione per Responsabili della Protezione dei dati” organizzato dal Consiglio Nazionale Forense e dal Consiglio Nazionale degli Ingegneri, con il Patrocinio dell’Autorità Garante per la Protezione dei Dati Personali.
L’idea principale del corso di formazione è stata quella di creare un mix di competenze giuridico-tecniche considerate essenziali per la corretta interpretazione del ruolo del DPO.
Questa idea, inizialmente sviluppata da docenti illustri afferenti ai due ordini professionali ed al Garante per la Protezione dei dati personali (tra essi Nicola Fabiano – attuale Presidente dell’Autority per la Protezione dei Dati Personali di San Marino, Luigi Montuori – Dirigente del Servizio Relazioni comunitarie ed internazionali del Garante italiano per la Protezione dei dati personali) è poi diventata uno degli obiettivi di UNIDPO che sul proprio sito internet riporta “Il valore aggiunto distintivo di UNIDPO è la sua composizione, formata da Avvocati ed Ingegneri, figure professionali complementari e necessarie per la completa gestione di un sistema di sicurezza, di protezione e di tutela dei dati personali.”
Data Protection Officer: aspetti organizzativi
Dal punto di vista organizzativo il DPO deve essere collocato in una posizione che gli consenta di avere autonomia e risorse necessarie per lo svolgimento della propria attività. L’articolo 38 paragrafo 3 del GDPR su questo punto è estremamente chiaro:
“3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.”
Tale disposizione normativa viene ovviamente interpretata dalle aziende o dalle amministrazioni pubbliche a seconda delle specifiche peculiarità organizzative di ciascuna entità.
Certamente la collocazione ideale del DPO sarebbe a riporto del vertice aziendale, ma spesso questa figura viene collocata in funzioni che si occupano di compliance oppure di rischi se non addirittura nelle strutture tecniche o legali. Queste ultime due soluzioni ci sembrano inadeguate e soprattutto non consentono di preservare la figura del DPO da un possibile conflitto di interesse.
Altro tema rilevante riguarda le risorse messe a disposizione per lo svolgimento delle funzioni del DPO. Anche questo ambito è fortemente impattato dalla dimensione e dalle attività svolte dall’azienda o, più in generale, dall’organizzazione.
Spesso al DPO, che come sappiamo può essere un dipendente oppure un esterno (che quindi svolge la propria funzione con un contratto di servizio), vengono demandate attività che il GDPR pone sotto la responsabilità del titolare e/o responsabile, quali la redazione ed il mantenimento del registro delle attività di trattamento o una significativa contribuzione nella valutazione dei rischi connessi ai trattamenti in essere.
Si tratta ovviamente di realtà medio piccole dove non è possibile avere una forte strutturazione organizzativa e dove il contenimento dei costi diventa fattore preponderante nella definizione dei processi interni.
Molte realtà internazionali e grandi gruppi imprenditoriali hanno sviluppato organizzazioni anche complesse nell’ambito delle protezione dei dati personali. Si tratta di realtà nelle quali esiste una rete di DPO afferenti alle varie entità aziendali che interagiscono secondo linee guida e direttrici comuni definite a livello di gruppo. In molti casi la funzione del DPO è assistita da altre funzioni aziendali (es. Legale, IT, Sicurezza) consentendo in questo modo una strutturazione dell’apparato di Protezione dei Dati Personali molto articolata ed organizzata secondo livelli di salvaguardia: operativo, di controllo, di auditing.
Entrambe le situazioni appena descritte pongono il DPO di fronte a sfide spesso complesse: nel caso delle aziende di piccole/medie dimensioni si rischia di demandare al DPO compiti specifici del titolare e/o del responsabile, con il forte pericolo di compromettere l’imparzialità di questa figura; nel caso di aziende complesse e di dimensioni consistenti si presenta spesso la necessità di definire un preciso modello di governance che stabilisca ruoli, responsabilità ed attività degli attori coinvolti, riducendo il rischio di ridondanze e sovrapposizioni.
Sicuramente la figura ed i compiti del DPO non sono ancora stati ben compresi dalle aziende e dalle organizzazioni pubbliche. Spesso questo ruolo è percepito in senso negativo come quello di un “ispettore”. Ovviamente non è così. Il compito del DPO è quello di tutelare il titolare (e/o il responsabile) nel mettere a punto un apparato tecnico ed organizzativo che tuteli in primis lo stesso titolare rispetto a possibili impatti che i trattamenti possono avere sugli interessati (siano essi dipendenti, clienti, fornitori o altro) e nel preservare un importante patrimonio informativo. Tutto questo nel rispetto della normativa vigente.
Conclusioni
Nel corso dell’articolo è stato effettuato un breve excursus nel mondo del GDPR, focalizzando in particolare la figura del DPO.
Abbiamo visto come questa figura si sia sviluppata negli anni e sia stata regolamentata in modo sempre più preciso con l’evolvere della normativa europea.
Abbiamo dettagliato quali debbano essere le competenze di un DPO alla luce dei compiti assegnati a questa figura dal GDPR e quali gli attuali possibili percorsi di certificazione che sono oggi disponibili seppur non ancora riconosciuti delle Authority europee.
Infine, abbiamo visto come il DPO si colloca nelle organizzazioni pubbliche e private. Nel nostro viaggio ci hanno accompagnato illustri pareri di personaggi di rilievo e di associazioni che operano nel settore della privacy e della protezione dei dati personali.
Al termine del nostro percorso non resta che rispondere alla domanda che ci siamo posti all’inizio: il DPO è un “Garante in casa”? Direi proprio di sì, ma nel senso che questa figura è posta a garanzia non solo della rispondenza agli adempimenti normativi ma, soprattutto, a tutela del titolare (e/o responsabile) nel preservare e far buon uso del proprio patrimonio informativo aziendale mettendo in campo soluzioni a salvaguardia della propria azienda e di quanti fruiscono dei servizi della stessa a vario titolo.
In questo senso sicuramente il DPO è una figura chiave del futuro per accompagnare l’evoluzione al mondo digitale, in grado di garantire la libera circolazione dei dati e l’offerta di servizi innovativi nel rispetto dei diritti e delle libertà personali.
BIBLIOGRAFIA
- 128th Session of the Committee of Ministers (Elsinore, Denmark, 17-18 May 2018) Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data – Consolidated text
- Banca Dati – Figure Professionali Certificate di Accredia
- Decreto Legislativo 101/2018 – Adeguamento al Regolamento UE 2016/679
- European e-Competenze Framework 3.0
- Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regards to Automatic Processing of Personal Data. Strasbourg 1/10/2018 Council of Europe Treaty Series – No. 223
- Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
- Il Sole 24 Ore, 8 maggio 2013 “Da Google alla Casa Bianca, Obama nomina una Privacy Officer”
- IT ESPRESSO – Pizzetti (ex garante): ecco perchè il Dpo è sopra le parti e non è licenziabile – Stefano Belviolandi, 4 aprile 2018,
- Kenneth A. Bamberger, Privacy on the Books and on the Ground
- Linee guida in materia di Dossier sanitario – Garante per la Protezione dei Dati Personali – Pubblicato sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015
- Manuale sul Diritto Europeo in materia di Protezione dei Dati – Agenzia dell’Unione europea per i diritti fondamentali e Consiglio d’Europa, 2018
- REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
- Sito internet UNIDPO – Unione Nazionale Italiana Data Protection Officer
- The International Association of Privacy Professionals: the certification program (IAPP)
- UNI 11697:2017 Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza