DPO: una garanzia per la privacy dei tuoi utenti

Oggi avere un DPO all’interno della propria organizzazione è fondamentale per tutelare la sicurezza del trattamento dei dati e ricevere supporto per quanto riguarda obblighi di protezione dei dati, svolgendo un ruolo di intermediario tra gli interessati e l’autorità di controllo competente.

Il DPO è una figura in cui ci si imbatte sempre più spesso negli ultimi anni: ma chi è esattamente il DPO e di cosa si occupa nello specifico? Ecco l’identikit:

 

DPO: CHI E’?

DPO è l’abbreviazione di Data Protection Officer e significa letteralmente Responsabile della Protezione Dati.

Con uno sguardo più ampio potremmo definirla come una figura di vigilanza che affianca il titolare dell’azienda o dell’organizzazione, assicurando la protezione dei dati attraverso una corretta applicazione del GDPR.

 

CHE COS’E’ IL GDPR?

Il GDPR (Regolamento Generale sulla Protezione Dati) è il regolamento europeo che regola e disciplina il modo in cui le aziende e le organizzazioni sono autorizzate a trattare i dati personali degli interessati, i quali possono essere sia persone fisiche che giuridiche.

Emanato in Europa nel 2016, contiene al suo interno un articolo che ne posticipa la sua applicabilità al 2018. Ed è quindi proprio con l’entrata in vigore del GDPR che il DPO è diventata una figura istituzionalizzata e necessaria, se non addirittura, in alcuni casi, obbligatoria, per assicurare la protezione dei dati.

Se vuoi sapere di più sul GDPR leggi l’articolo GDPR: Le 5 W del General Data Protection Regulation.

 

COSA C’ERA PRIMA DEL DPO?

Prima della figura del DPO non esisteva una figura specifica ed istituzionalizzata che si occupasse della protezione dei dati personali, bensì al massimo vi era, ed è tutt’ora presente, il ruolo del consulente privacy; una figura non istituzionalizzata, con esperienze nel campo privacy e che in virtù di tale esperienza, si occupa anche della consulenza per le aziende in tema di privacy ai sensi di quella che era a normativa nazionale Codice Privacy: Decreto Legislativo 196 del 2003.

Al contrario, il DPO ha un ruolo istituzionalizzato dal GDPR: non è un mero consulente, ma è anche un soggetto che si assume, ai sensi del GDPR, delle responsabilità non solo nei confronti del soggetto che lo incarica di fare l’attività di DPO, ma anche degli interessati, in quanto il DPO è un punto di contatto fra l’organizzazione e gli interessati. Per tanto nel caso in cui gli interessati stessi (ad esempio i clienti dell’organizzazione, oppure gli utenti del servizio) abbiano dei dubbi sul trattamento dei loro dati personali, possono rivolgersi direttamente al DPO per avere dei chiarimenti.

 

QUAL È IL PERCORSO FORMATIVO PER DIVENTARE DPO?

Il ruolo del DPO, ai sensi della normativa del GDPR, non richiede delle abilitazioni o delle qualifiche specifiche, tuttavia, le linee guida del gruppo di lavoro (ex articolo 29 WP – EDPB board) stabiliscono che il DPO deve avere esperienze e competenze adeguate nelle attività a scopo di lucro.

 

CHI PUO RICOPRIRE IL RUOLO DI DPO?

Il ruolo del DPO non deve essere necessariamente assunto da una persona fisica, ma può essere assunto anche da una persona giuridica ossia da un’azienda o una società specializzata in tale settore.

Secondo il GDPR, il DPO non deve avere conflitto di interesse con altri ruoli aziendali o dell’organizzazione, quindi non deve ricoprire altre cariche decisionali all’interno della stessa organizzazione.

 

QUALI COMPETENZE SERVONO PER DIVENTARE DPO?

Un DPO per svolgere bene il suo lavoro deve avere:

  • Competenze giuridiche: necessarie per capire come un certo obiettivo sia raggiungibile dall’azienda rimanendo adeguati al regolamento europeo.
  • Competenze informatiche: relative a tutto quello che è il lato di protezione dei sistemi informatici, in quanto, ad oggi, la maggior parte dei dati oggi non viaggiano più attraverso archivi cartacei, ma su sistemi informativi.
  • Competenze sistematiche: relative ai sistemi di gestione dei processi aziendali.

Il ruolo del DPO integra al suo interno conoscenze delle normative e degli aspetti contrattuali che disciplinano i rapporti tra il titolare del trattamento dati e i suoi interessati, conoscenze in tema di cybersecurity per proteggere gli archivi dati e conoscenze dei processi aziendali e gestionali che caratterizzano l’attività di business

Le competenze sistemistiche per un DPO sono necessarie per poter realizzare delle verifiche su quello che è il sistema di gestione aziendale, e pianificare così degli audit, ovvero delle verifiche o delle interviste, in cui si evidenziano quali sono le osservazioni o le “non conformità” e quali possono essere le possibili azioni di miglioramento.

 

ATTIVITA’ DEL DPO

Sulla base delle sue competenze, quindi una delle attività che contraddistingue il DPO è quella di verificare che il lavoro svolto dai diversi responsabili degli uffici segua le conformità delle norme del GDPR.

Per tanto, se in un primo momento il DPO aiuta alla costruzione di un sistema di processi da seguire, è poi compito suo sorvegliare che il sistema pianificato funzioni e venga rispettato, proponendo in alternativa delle azioni migliorative.

In sostanza, l’organizzazione, con il supporto del DPO fa una mappatura di tutte quelle che sono le attività di trattamento dei dati personali e, in seguito, esegue un’analisi dei rischi, individuando i profili di rischio (alto, medio o basso). Di seguito, in funzione del profilo di rischio emerso, va a costruire un sistema di contromisure che hanno l’obiettivo di ridurre il rischio legato al trattamento dei dati al minimo.

 

CASI CRITICI PER UN DPO: DOVE HA RESPONSABILITA’ IL DPO?

Come detto, il DPO ha il compito di garantire la sicurezza del trattamento dei dati; tuttavia, nel caso in cui l’organizzazione incorra in una sanzione in seguito all’affidamento ad un consiglio del DPO, quest’ultimo di per sé non ha alcuna responsabilità ai sensi del GDPR.

La responsabilità del DPO è unicamente una responsabilità contrattuale, ma non esistono sanzioni, in quanto la responsabilità decisionale finale è sempre e comunque assunta del titolare del trattamento dei dati, che rimane comunque colui che determina le finalità e i mezzi del trattamento dei dati, che sceglie quali dati raccogliere, per quali finalità, come proteggerli, con quali misure di sicurezza e quali condizioni legittimarne il trattamento.

Quindi al DPO, così come a qualunque altro fornitore, non può essere sanzionato, ma gli può essere semplicemente contestato, da chi gli ha attribuito l’incarico, il fatto di non aver svolto in maniera corretta l’attività professionale richiesta.

Il titolare del trattamento in questo caso può però rivalersi sul DPO, chiedendo un risarcimento se questo ha provocato un danno a causa di un proprio inadempimento. Anche in questi casi, comunque, DPO e titolare dei dati sono protetti e tutelati da una polizza assicurativa, detta anche garanzia fideiussoria.

 

QUANDO UN DPO È OBBLIGATORIO?

L’articolo 37 del GDPR stabilisce che l’obbligatorietà del DPO è necessaria nei seguenti casi:

  • Tutte le pubbliche amministrazioni sono tenute ad avere il DPO
  • I soggetti che hanno come attività principale il monitoraggio regolare e sistematico su larga scala di dati personali
  • I soggetti che hanno come attività principale il trattamento su larga scala di dati particolari (es. dati relativi alla salute, il genere, l’età, ecc. biometrici)

Anche i privati che non avrebbero l’obbligo di dotarsi di DPO, spesso si dotano di un DPO, al fine di:

  • Avere una maggior sicurezza che i dati personali vengano trattati in maniera corretta.
  • Migliorare la credibilità in termini di sicurezza dell’organizzazione, in quanto avere un DPOdimostra una particolare attenzione a quelli che sono i trattamenti dei dati personali degli interessati.

 

UN DPO PER IL TUO ENTE

Noi di Comune Facile operiamo ponendo sempre la massima attenzione alla privacy e alla corretta gestione dei dati dei nostri utenti e clienti grazie al nostro partner GRCteam, azienda di consulenza specializzata che mette a disposizione figure professionali preparate a seguire e supportare con le proprie conoscenze aziende e pubbliche amministrazione nel corretto trattamento dei dati.

Visita qui il sito di GRCteam: https://www.grcteam.it/home/