Le aziende che si apprestano a nominare un DPO, per obbligatorietà o per scelta, devono avere chiari i requisiti ai quali deve rispondere, ma anche i compiti che gli andranno assegnati (e quali no).
Indice degli argomenti
DPO: una figura nuova e controversa
Correva l’ormai lontano 2016. Sono trascorsi solo 5 anni, ma in termini di normativa privacy è passato un secolo. Nei primi mesi di quell’anno avemmo finalmente fra le mani il testo definitivo del GDPR, alquanto diverso dalle bozze che erano circolate. Ci dedicammo subito alla sua interpretazione in vista dell’entrata in vigore e del conseguente avvio dei progetti di adeguamento.
Uno dei temi che suscitarono maggiore dibattito, anche per la sua assoluta novità, almeno in Italia, fu la figura del DPO, messa al centro di riflessioni in diversi consessi in cui si confrontavano gli esperti privacy e gli operatori del settore. Ricordo in particolare il workshop #Ready4EUDataP promosso da €uroprivacy e la tavola rotonda “Per gli amici si chiama GDPR” al Security Summit del Clusit.
Tutti i compiti del DPO
Fin da subito, il dibattito sui compiti del DPO si polarizzò su due contrapposte scuole di pensiero: quella che vedeva il DPO come una figura eminentemente di garanzia e di controllo, lontana da qualsiasi compito operativo, ben distinta dal Privacy Officer (o altra figura analoga) incaricato di implementare la privacy in azienda, e dal consulente privacy; e la fazione opposta, che osteggiava una troppo rigida segregazione fra le figure operative sulla privacy e quella del DPO.
Questa seconda visione esprimeva il timore che un ruolo esclusivamente di vigilanza assegnato al DPO costringesse le organizzazioni ad una onerosa duplicazione dei ruoli, ritenuta impraticabile (almeno nella realtà italiana, caratterizzata da una preponderanza di PMI).
Il dibattito procedeva ovviamente dalle indicazione del GDPR stesso, che definisce i compiti all’Art.39: il DPO risulta investito di responsabilità di sensibilizzazione e consulenza (informare e consigliare), controllo (vigilare su osservanza, responsabilità, formazione e audit), supporto strategico (contribuire a DPIA e risk assessment) e rappresentanza (verso il Garante): attività non esattamente operative.
Da questa lettura deriva la visione secondo la quale il ruolo del DPO sembrava configurarsi come una figura eminentemente di controllo, ben diversa da chi ha la responsabilità di “fare” la privacy.
Ma come abbiamo visto, le aziende che stavano disegnando i loro nuovi organigrammi privacy apparivano perplesse sulla necessità di una doppia struttura, ovvero una “operativa” ed una più “di garanzia”.
I requisiti per il DPO in azienda
Ancora più delicato si presentava il tema dei requisiti per poter accedere a questa nuova professione, anche tenendo conto del fatto che molti di noi si apprestavano a proporsi sul mercato per ricoprire il ruolo.
In questo caso il GDPR non è di grandissimo aiuto: l’Art. 37.5 si limita a richiedere “qualità professionali, conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, capacità di assolvere i compiti di cui all’articolo 39”.
Tanto per sgombrare il campo da equivoci, non è quindi richiesto alcun titolo di studio, iscrizione ad albi o certificazione. Il DPO deve solo avere conoscenze e capacità sufficienti per svolgere i compiti previsti.
Resta vero che le certificazioni disponibili sul mercato possono costituire uno strumento per accertare le competenze.
In tal senso, può essere presa in considerazione la norma UNI 11697:2017 che definisce “i requisiti relativi all’attività professionale di soggetti operanti nell’ambito del trattamento e della protezione dei dati personali” (fra i quali anche il DPO), sulla quale si basano alcune certificazioni e i percorsi formativi ad esse afferenti.
Un’indicazione precisa dell’Art. 37.6 chiarisce che può essere designato DPO un dipendente oppure qualcuno che “assolva i suoi compiti in base ad un contratto di servizi”.
Inizialmente qualcuno intese tale definizione in senso restrittivo, ovvero limitata a professionisti persone fisiche, ma a dicembre 2016 intervennero opportunamente le attese Linee Guida sul DPO del WP29 (come allora si chiamava il coordinamento dei Garanti europei, oggi EDPB) indicando che l’esternalizzazione del DPO poteva essere attivata “sulla base di contratto di servizio stipulato con un individuo o un’organizzazione”.
Peraltro, nelle stesse Linee Guida, sulle caratteristiche professionali della figura si dice solo che maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO.
Dal punto di vista più sostanziale, si fece strada abbastanza presto l’idea che nessun singolo professionista, interno o esterno che fosse, sarebbe stato in grado di possedere tutte le competenze richieste, che spaziano dalla normativa alla sicurezza informatica, dall’analisi del rischio allo sviluppo organizzativo, dalle capacità manageriali a quelle di comunicazione.
Il DPO dunque, più che essere identificato in una singola persona, sarebbe più efficacemente rappresentato da un team multidisciplinare.
Giorno per giorno, il DPO all’opera
Per comprendere quanto il DPO possa assumere su se stesso compiti operativi, si deve discutere del tema della responsabilità.
Qui la posizione del WP29 si fa perentoria: “Il controllo della conformità non significa che il DPO sia personalmente responsabile nel momento in cui vi è un caso di non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, ad essere tenuto a ‘attuare misure tecniche e organizzative per garantire e per essere in grado di dimostrare che il trattamento viene eseguito in conformità del presente regolamento’. Il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO”.
Ciò detto, oltre a svolgere gli imprescindibili compiti di vigilanza e di interfaccia verso il Garante, nulla impedisce al DPO ad esempio di proporre modelli di procedure e documentazione legale o metodologie per identificare le misure di sicurezza. Sarà responsabilità del Titolare adottare tali modelli e misure, ma soprattutto applicarli (e documentarne l’adozione e l’applicazione).
Una possibile distinzione fra attività “essenziali”, che il GDPR assegna istituzionalmente al DPO, e “di supporto”, che il titolare potrebbe svolgere in proprio ma anche assegnare al DPO nel suo legittimo ruolo consulenziale, aiuterebbe a lavorare più serenamente, senza il rischio di cadere in un conflitto di interessi.
Nella prima categoria possono rientrare: informazione in merito agli aggiornamenti normativi; pianificazione ed esecuzione di controlli; interazione con l’Autorità Garante; indirizzamento della gestione delle richieste degli Interessati; supporto alla definizione di un piano di formazione; supporto alla gestione del registro dei trattamenti.
Fra le attività aggiuntive possiamo invece considerare: predisposizione o aggiornamento di disposizioni o documentazione interna (policy, procedure, template, modelli); assessment delle competenze in materia di privacy ed erogazione della formazione; supporto specialistico nella gestione di specifici eventi (privacy by design, DPIA, data breach, richieste degli interessati); pareristica specialistica; analisi dei rischi e misure di sicurezza; simulazioni di visite ispettive; supporto all’adeguamento dei siti Web e app.
Contributo editoriale sviluppato in collaborazione con P4I Hub.
