Un’adeguata divisione di ruoli e responsabilità all’interno di aziende e organizzazioni potrebbe permettere di abbassare i costi necessari a garantire la conformità al GDPR, creando un forte valore aggiunto e consentendo di raggiungere una perfetta simbiosi tra organizzazione aziendale e data protection.
Proprio in questo ambito, due grossi equivoci hanno dominato la scena degli ultimi mesi.
Il primo riguarda i compiti del DPO: molte organizzazioni hanno ritenuto sufficiente nominare un Responsabile e delegargli tutta l’attività di adeguamento alla nuova normativa. Ma se il DPO si deve occupare di tutte le attività di adeguamento alla normativa – molte volte con scarsissime risorse a lui destinate – come potrebbe anche riuscire a svolgere le attività proprie della sua funzione quali la sensibilizzazione del personale, la collaborazione nelle valutazioni di impatto, la gestione delle richieste degli interessati e la sorveglianza sulla corretta gestione dei dati?
Inoltre il DPO – in qualità di figura (anche) di controllo – dovrebbe operare in maniera indipendente rispetto alle decisioni dell’organizzazione. Ma demandando a questa figura tutte le attività legate all’adeguamento e al mantenimento degli obblighi previsti dal Regolamento, come si potrebbe evitare che controllore e controllato coincidano?
Il secondo equivoco riguarda la gestione delle responsabilità: è bene sottolineare che l’ultimo responsabile della conformità del trattamento di dati personali a quanto richiesto dal GDPR è il titolare del trattamento, non il DPO. Per garantire l’effettività del ruolo del DPO e la sua indipendenza – e allo stesso tempo garantire una maggiore efficienza nell’utilizzo dei dati – è necessario prevedere un’attenta divisione interna di ruoli e responsabilità. Questa ripartizione di responsabilità rientra proprio tra i compiti del DPO previsti dall’articolo 39 del GDPR.
Analizziamo dunque una struttura organizzativa che possa rispondere in modo efficace a queste esigenze.
Indice degli argomenti
Ufficio Data Protection: una sinergia tra giuristi e informatici
Partiamo da un semplice assunto: anche il DPO più “eroico” non potrebbe da solo occuparsi della gestione di tutti gli obblighi previsti dal GDPR (che vanno dalla costruzione e periodico aggiornamento di tutti i registri dei trattamenti, alle valutazioni di impatto, dalla formazione, alla consulenza e alla gestione delle richieste degli interessati), soprattutto operando in realtà ampie e complesse.
Una prima soluzione è quella di affiancare un Data Protection Office al DPO.
Ma quante e quali risorse dovrebbero far parte di tale ufficio? Molto dipende dalla realtà in cui si opera, ma alcuni suggerimenti sono sempre validi.
Innanzitutto, per analizzare i possibili rischi sottesi ad un trattamento di dati personali è necessaria una sinergia fra anima giuridica e tecnica. Dunque per affiancare in modo efficiente un DPO devono coesistere più professionalità: giuristi, informatici, ingegneri. Inoltre, è necessaria una approfondita conoscenza della realtà aziendale in cui si opera e, a questo fine, sarebbe meglio che almeno una parte dei membri dell’Ufficio Data Protection siano dipendenti interni all’azienda (Ufficio Legale, IT Security), oltre che professionisti in ambito risk management.
Come conciliare organizzazione aziendale e data protection
Bisogna a questo punto sottolineare che – per quanto la creazione di un Ufficio Data Protection sia fondamentale per garantire l’effettività del ruolo del DPO – da un lato non risolve il problema dell’indipendenza (controllore e controllato continuerebbero a coincidere) e dall’altro potrebbe non essere una soluzione efficace.
Ogni ente, infatti, è generalmente suddiviso in aree funzionali (Ufficio Legale, Marketing, Credito), ognuna delle quali è interessata da determinati trattamenti di dati personali. Solo chi lavora quotidianamente all’interno di una singola area conosce in modo approfondito le particolarità dei trattamenti operati e può tempestivamente riscontrare problematiche o agire in caso siano necessari aggiornamenti o modifiche.
Inoltre, chi lavora con continuità su specifici datasets può rendersi immediatamente conto di inefficienze e proporre soluzioni pratiche che potrebbero garantire performance migliori. Per queste ragioni è consigliabile una ripartizione oculata di ruoli e responsabilità a livello delle singole aree funzionali. Proprio per questo motivo, l’art. 2-quaterdecies del novellato Codice Privacy (D.lgs. 196/03, come modificato dal D.lgs. 101/18) prevede che il titolare del trattamento possa assegnare specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche che operano sotto la sua autorità.
Ma come stabilire chi deve gestire gli obblighi di data protection in ogni area? Anche in questo caso si può solo provare a pensare a quale soluzione sia più efficiente, ma molto dipenderà sempre dalla realtà in cui si opera.
Partiamo da un altro presupposto: il responsabile di ogni area generalmente è il soggetto che meglio conosce la ripartizione dei compiti e le diverse professionalità di coloro che qui lavorano, disponendo di una visione d’insieme sui diversi trattamenti effettuati nel suo ambito. Per tali ragioni è il soggetto che meglio potrebbe coordinare le attività legate alla data protection all’interno dell’area.
Gestire tutte queste attività per un’intera area funzionale può richiede però molto tempo. È dunque necessario che ogni responsabile funzionale individui alcuni soggetti particolarmente affini a fungere quali punti di riferimento privacy all’interno dell’area per conoscenza dei trattamenti e tempo a disposizione.
In tal modo, si verrebbe a garantire un controllo continuativo e diffuso di tutti i trattamenti di dati personali posti in essere all’interno dell’azienda e una divisione dei ruoli fra controllore (DPO) e controllato (Titolare del trattamento).
Il referente scelto dovrebbe interfacciarsi sia con il DPO – come vedremo a breve – che riferire la propria attività al responsabile di area. Questo reporting “a più voci” permetterebbe al responsabile di area di avere una visione ampia e aggiornata dei trattamenti che si svolgono sotto la sua responsabilità, coinvolgendo immediatamente il DPO in caso di problematiche o esigenze particolari.
Manca ancora un passaggio fondamentale per garantire la massima conformità al regolamento ed efficienza.
Il ruolo del Data Protection Officer in azienda
Anche in organizzazioni non esageratamente complesse è raro che i trattamenti di dati personali si esauriscono in un singolo dipartimento. La pervasività delle tecnologie a supporto dei processi ha permesso e sempre più permette efficienze legate alla condivisione dei dati e al reciproco arricchimento.
È dunque necessario evitare inefficienze che potrebbero derivare da una mancanza di comunicazione tra le varie aree che si alternano in momenti diversi nei trattamenti dei medesimi dati personali.
È proprio qui che entra in gioco in modo molto evidente l’importanza del ruolo del DPO che deve sempre mantenere una visione olistica delle attività di trattamento di dati personali che si svolgono nella realtà in cui opera. A questo fine è fondamentale strutturare un dialogo costante con i responsabili e i referenti di ogni area. Questi ultimi si devono rivolgere al DPO per ogni intervento straordinario che considerino necessario, richiedendo formazione specifica all’interno della loro area di riferimento, acquisendo pareri in merito alle nuove valutazioni di impatto sulla protezione dei dati o svolgendo indagini in caso di violazioni di dati personali.
La figura del DPO può essere particolarmente incisiva nel processo di valorizzazione delle informazioni aziendali, aiutando le varie strutture aziendali ad evitare “silos” informativi e massimizzando il valore dai dati raccolti e trattati.
L’importanza di un comitato data protection
Sempre per garantire il necessario coordinamento fra le aree aziendali, sarebbe utile prevedere una struttura di raccordo collettiva in cui si possano confrontare tutti i responsabili delle varie aree. Oltre a contribuire all’efficienza comunicativa interna, questo comitato permetterebbe di valutare collettivamente i rischi dei trattamenti di dati che coinvolgono più aree e di prendere così decisioni sulle questioni di maggior impatto (pensiamo alla notifica al Garante e agli interessati di un data breach o alla decisione di procedere ad una consultazione preventiva all’Autorità).
A tale organo deve essere chiamato a partecipare anche il DPO sia perché il GDPR richiede un suo coinvolgimento in tutte le questioni riguardanti la protezione dei dati personali, ma soprattutto per la capacità che dovrebbe avere nel proporre soluzioni conformi alla normativa ed allo stesso tempo efficienti per l’azienda.
In conclusione, i nuovi obblighi e adempimenti sono certamente un costo per le aziende. Ma la vera innovazione organizzativa portata dal GDPR è legata alla capacità di trasformare questo costo in un’opportunità. Assegnando ad ognuno le proprie responsabilità è possibile maturare una conoscenza più consapevole e approfondita del patrimonio informativo a disposizione, migliorando così l’efficienza organizzativa interna.
