“Talvolta il DPO viene considerato soprattutto come un consulente o un esperto di protezione di dati personali, mentre la sua attività prevalente dovrebbe essere rivolta ai controlli, anche se non sono esclusi compiti di supporto e di indirizzo del titolare del trattamento”, avverte Andrea Reghelin, Audit & Compliance Director di P4I, ricordando che il ruolo del DPO deve avere competenze specifiche e non va confuso con quello del Privacy Manager o con altre funzioni dedicate alla compliance normativa. “A nostro avviso, fra i compiti del DPO, ha particolare rilevanza la sua responsabilità nel verificare e sorvegliare che il titolare del trattamento che lo nomina e la sua organizzazione mantengano la conformità alle normative in materia di protezione dei dati personali”, aggiunge.
Di conseguenza, il DPO deve coordinare un sistema di controllo sulla compliance al GDPR, tenendo conto del principio dell’accountability, uno dei pillar della normativa. Questo prevede che l’organizzazione non solo debba adeguarsi al Regolamento, ma che sia anche in grado di documentare i passi svolti per essere compliant. L’attività del DPO non si limiterà però a una stretta verifica degli adempimenti normativi, ma avrà una portata molto più ampia andando a toccare molteplici ambiti di riferimento. Li vediamo qui di seguito.
Indice degli argomenti
Controlli del DPO in ambito organizzativo
Il DPO deve innanzi tutto verificare l’adeguatezza dell’organizzazione nell’adempiere agli obblighi stabiliti dalla normativa, andando a verificare le funzioni o gli organi a cui sono state attribuite responsabilità in materia di protezione dei dati personali. “Alcune aziende si sono dotate di comitati, altre hanno individuato figure specifiche a cui assegnare le diverse responsabilità. – esemplifica Reghelin – In ogni caso, il DPO deve comprendere non solo se questi organi siano stati correttamente individuati, ma anche se rimane traccia dell’attività che svolgono”.
Un ulteriore aspetto di natura organizzativa è la verifica delle procedure e dei processi che l’organizzazione si è data per adempiere agli obblighi normativi, attraverso l’analisi di procedure come quelle relative alla gestione dei data breach, all’aggiornamento del registro dei trattamenti, alla gestione dei diritti degli interessati. La verifica del DPO sarà tesa ad accertare che queste procedure siano adeguate, rispettate e consentano di mantenere le evidenze delle attività effettivamente svolte.
Controlli del DPO in ambito legale
Un secondo tipo controllo, di natura legale, riguarda gli aspetti giuridici e documentali, secondo due tipologie:
· trasversali, che non entrano nello specifico dei singoli trattamenti bensì verificano l’adeguatezza della documentazione ai diversi requisiti normativi, controllando, ad esempio, che tutte le informative abbiano le caratteristiche previste, che il registro dei trattamenti contenga tutte le informazioni richieste a livello normativo, che la metodologia per la valutazione dell’impatto contenga tutti gli elementi necessari;
· verticali, che entrano nello specifico dei singoli trattamenti svolti dall’organizzazione e sono mirati alle singole attività, come il marketing o la gestione del personale; in questi casi si controlla, ad esempio, che sia stata individuata correttamente la base giuridica, che il trattamento sia stato riportato nel registro senza errori, che siano stati individuati i giusti interessati, che l’informativa specifica sia conforme.
Controlli del DPO in ambito protezione e sicurezza dati personali
Un terzo tipo di controllo riguarda l’adeguatezza delle misure tecnico-organizzative che il titolare deve implementare per garantire la conformità al regolamento, come le misure di sicurezza a protezione dei dati personali.
Il DPO in questo ambito deve verificare non solo che sia presente un’adeguata metodologia per l’individuazione dei rischi e delle misure di sicurezza, ma anche che la metodologia sia stata applicata correttamente e che le misure individuate attraverso l’attività di analisi del rischio siano effettivamente operative all’interno dell’organizzazione.
Controlli del DPO sui responsabili esterni del trattamento
Un ultimo ambito di controllo da parte del DPO riguarda i rapporti del titolare con i responsabili esterni, ossia quei soggetti che svolgono trattamenti per conto del titolare. In questa categoria rientrano, ad esempio, i fornitori di servizi cloud, i data center esterni, le società che gestiscono per conto del cliente attività quali la gestione del personale, delle paghe e contributi, di attività di marketing. La normativa prevede che, nel momento in cui si affida il trattamento a figure che assumono il ruolo di responsabili esterni, il titolare deve fornire indicazioni su come effettuare i trattamenti delegati e quali misure implementare a protezione dei dati personali. “L’attività del DPO, in questo ambito, andrà da un lato a verificare che l’azienda gestisca correttamente le attività di esternalizzazione verso i responsabili esterni del trattamento. Dall’altro, potrà fare verifiche, anche coordinandosi con DPO delle aziende delegate, per accertare che i responsabili esterni agiscano nel rispetto degli obblighi contrattuali definiti nell’atto di designazione”.
I criteri per effettuare i controlli di privacy
Il DPO non può controllare tutto, particolarmente in aziende molto strutturate e complesse che spesso coincidono con quelle per le quali la nomina è obbligatoria. Si tratta molto spesso di organizzazioni di grandi dimensioni come banche, assicurazioni, società della grande distribuzione, cloud provider e simili.Il DPO deve di conseguenza definire le priorità per stabilire un piano di audit sulla base delle attività dell’organizzazione tenendo conto dei rischi per la libertà e i diritti degli interessati, soprattutto perché il Regolamento Europeo è basato su una logica risk-based.
Un’altra modalità con cui il DPO può esercitare la sua attività di controllo è attivare flussi informativi provenienti da determinate figure aziendali al fine di tenere sotto controllo con continuità le evoluzioni intervenute in un certo periodo e che possono avere un impatto sulle modalità di trattamento dei dati personali. Si tratta ad esempio di introdurre nuove categorie di dati, nuove tipologie di interessati, nuovi strumenti o fornitori, nuovi trasferimenti di dati a terzi o fuori dalla UE. Ciò consentirà di individuare tempestivamente gli ambiti su cui è necessario effettuare un aggiornamento del registro dei trattamenti, dell’analisi del rischio ed eventuali DPIA, o della documentazione (informative, nomine).
Il DPO può infine avvalersi dei controlli effettuati da funzioni aziendali esistenti che a loro volta si occupano di supervisione, andandosi a coordinare con funzioni interne, come audit o compliance, e avvalendosi così di ulteriori verifiche di primo, secondo o terzo livello.
Contributo editoriale sviluppato in collaborazione con P4I Hub
