Più volte si è discusso della figura del Data Protection Officer (di seguito DPO), introdotta dal GDPR (Regolamento UE 2016/679) nell’ambito aziendale: diverse interpretazioni sono nate per questa nuova, ma ormai familiare, figura.
Come per ogni nuova figura professionale, inizialmente vi sono stati assestamenti su quelle che potevano essere le funzioni e gli ambiti delle mansioni del DPO, tralasciando tuttavia quello che la norma chiaramente postulava.
Alla luce della normativa, si rende sempre più necessario strutturare un team a supporto di questa figura.
Indice degli argomenti
Le competenze del DPO in azienda
Il DPO è una figura di controllo, svolge un compito di vigilanza e consulenza sull’operato del titolare del trattamento e, in caso di necessità e/o di ispezioni da parte del Garante, collabora e funge da punto di riferimento per quest’ultimo.
Il DPO deve avere competenze multidisciplinari, tra le quali, ad esempio, quelle legali, tecnico organizzative e informatiche e ovviamente deve conoscere le normative giuridiche specifiche in tema privacy.
Può essere un dipendente del titolare del trattamento, purché sia preservata e garantita la necessaria autonomia e che venga applicato il principio di imparzialità per il ruolo che deve svolgere.
Occorrerà inoltre porre attenzione in merito ad eventuali o potenziali conflitti di interesse. In considerazione delle criticità che tipicamente emergono nei contesti aziendali, pertanto, spesso può risultare efficace optare per la nomina di un professionista esterno che dia maggiori garanzie di imparzialità, autonomia e indipendenza.
La necessità di un team di supporto al DPO
In ogni caso, sia con nomina interna sia con nomina esterna, nasce sicuramente all’interno delle aziende la necessità di strutturare un team preposto alla gestione del sistema privacy, poiché con l’avvento del GDPR anche questa normativa diventa un vero e proprio sistema di gestione all’interno dell’azienda.
Vi sarà la necessità di avere punti di riferimento e un organigramma privacy strutturato con le funzioni che trattano dati personali e particolari in azienda.
Tipicamente, quindi, si riscontreranno gli interventi della funzione HR, della funzione legal, di quella safety e della funzione IT; ma rimangono importanti in questo team, secondo le caratteristiche specifiche ed il contesto aziendale, anche le funzioni marketing, quality e finance.
Sarà opportuno schedulare eventuali staff meeting per procedere con una pianificazione cadenzata, la condivisione di progetti e di obiettivi e, punto estremamente importante, una netta suddivisione dei ruoli e dei compiti all’interno del team proposto alla gestione della privacy.
Il coinvolgimento dell’organismo di vigilanza
Dopo aver fatto cenno, da un lato, a come il GDPR abbia impattato sul sistema di gestione all’interno delle aziende in ambito privacy e, dall’altro lato, alla necessità di integrazione con le funzioni aziendali, merita una riflessione anche l’opportunità di interazione e coinvolgimento dell’organismo di vigilanza, nelle aziende in cui sia stato adottato un sistema 231.
Bisognerà introdurre procedure per la gestione dei punti di contatto nel caso in cui ci siano necessità in ambito privacy.
Si potrebbe impostare il lavoro identificando la funzione legale come referente del sistema di gestione privacy (team leader), che gestirà i processi inerenti ai diritti degli interessati, ad eventuali possibili data breach e a tutte le nuove esigenze che ogni funzione aziendale potrebbe riscontrare nell’ambito dello svolgimento delle proprie mansioni.
Inoltre, la stessa funzione legale, diventerà punto di contatto e riferimento interno per il DPO, al quale riferirà regolarmente sugli accadimenti aziendali rilevanti per il relativo ambito. Infine, tale opzione organizzativa permette di avere in azienda una figura più “operativa”, costante e presente, che sappia quindi coadiuvare il DPO nel caso in cui vi siano richieste o visite da parte di enti ispettivi.
L’organizzazione in team garantisce la creazione di un sistema di competenze complementari valorizzando maggiormente il processo di accountability aziendale, procedurizzando e documentando i ruoli e le mansioni di ogni servizio in ambito privacy.
Banalmente si potrebbe pensare ad un sistema di gestione in cui la formazione sarà in capo alla funzione HR, la salvaguardia dell’integrità, disponibilità e riservatezza dei dati informatici in capo alla funzione IT, audit interni per verificare la corretta gestione del sistema e la creazione della documentazione integrata con eventuali certificazioni/ISO già esistenti potrebbero essere svolti dalla funzione QA.
La creazione di un sistema di gestione
Ci sono molteplici scenari e molteplici sviluppi che possono risultare dopo un’intervista iniziale sulle funzioni e sui servizi svolti dalle singole aree aziendali.
Sarà necessario creare un sistema di gestione, non solo a lato documentale/legale, ma che possa corrispondere ad un sistema di gestione SGSI (Sistema di Gestione della Sicurezza delle Informazioni) che protegga il dato personale in ambito di riservatezza, integrità e disponibilità e che allo stesso tempo possa portare maggiore ordine nella gestione dei ruoli e delle competenze in ambito aziendale.
Ci si aspetterà quindi di trovare procedure per la gestione dei trattamenti principali in azienda, come ad esempio una procedura d’ingresso del nuovo dipendente, che comprenderà sia i documenti che dovranno essere consegnati al nuovo arrivato, gli eventi formativi a cui dovrà partecipare, eventuali test di formazione per formalizzare la reale efficacia dei corsi, incarichi e regolamenti riconsegnati controfirmati e tutto ciò che sarà necessario per questo trattamento.
Non meno importante sarà la presenza di una procedura per la gestione dei diritti degli interessati, in cui verrà specificato il contatto principale per la raccolta dei dati e in base alla richiesta verranno allertati e coordinati i servizi che gestiscono il trattamento che opera sui dati di cui è stata fatta richiesta.
Nel caso in cui fosse necessaria l’adozione di specifiche policy in ambito IT per la gestione dei dati, avendo un team di lavoro coeso, sarà più semplice reperire tutte le informazioni necessarie minimizzando i tempi di risposta.
L’importanza del team serve inoltre per mettere in luce eventuali trattamenti “latenti”, non sempre gestiti o ancor peggio non censiti. Serve per far maturare l’attenzione verso le tematiche sulla protezione dei dati e per aumentare il concetto dell’accountability, così forte e importante per la corretta gestione di questa normativa.
Serve inoltre a riportare il lavoro del DPO a quello richiesto dalla norma, ovvero di coordinatore e di vigilante. Potrebbe essere utile avere inoltre un consulente esterno che abbia competenze specifiche sulla gestione della sicurezza delle informazioni, sui sistemi di gestione, in ambito privacy e cyber security.
Questo darà un plus allo sforzo di adeguamento GDPR e introdurrà una gestione sistematica di tutti i dati all’interno dell’azienda, siano questi dati personali o dati business.
Conclusione
La figura del DPO deve appunto essere una figura di coordinamento, di riferimento e di aiuto nel caso in cui si debba intraprendere scelte di progettazione di un nuovo trattamento, valutarne eventualmente i rischi, o in caso ad esempio di attacco informatico non ci sia la certezza di violazione dei dati e non si sappia quindi quali strade intraprendere.
Bisognerà tener conto anche della necessità, per il DPO, di poter svolgere il proprio compito privo di conflitti d’interesse o di vincoli che possano, accidentalmente, minare l’autonomia del DPO stesso.
Questo lavoro di team facilita le comunicazioni, aiuta il titolare e il DPO nella corretta gestione dei dati all’interno dell’azienda ed è già di per sé un’ottima presentazione nel caso in cui sorga la necessità di essere valutati da enti esterni per la conformità in ambito GDPR all’interno dell’azienda.
