Dalla data di efficacia del GDPR, il Regolamento Europeo sulla protezione dei dati personali che risale ormai a oltre tre anni fa (25 maggio 2018) siamo abituati a sentire parlare di DPO, data protection officer o, secondo la traduzione italiana della normativa, responsabile della protezione dei dati.
Si tratta di una figura che esisteva già in altri ordinamenti giuridici ma che da noi non era stata ancora adottata.
Ma chi sono i DPO? Che responsabilità hanno? Quali sono i maggiori ostacoli della loro professione?
Chi è il DPO?
Partiamo da qualche dato.
Secondo la ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano nel 2019 il 57% delle aziende intervistate (180 grandi imprese) aveva un DPO formalizzato.
Fra chi ha risposto di avere un DPO formalizzato il 69% ha dichiarato di avere un DPO interno mentre il rimanente 31% di averlo esterno (tendenzialmente, le aziende sopra i 250 addetti hanno una percentuale di DPO interni maggiore, oltre il 78% mentre tale percentuale sale al 95% nel settore finanziario).
La maggioranza dei DPO arriva da giurisprudenza (56%), il 14% proviene da studi di management e il 13% da ingegneria. Al 7% troviamo informatica ma esistono anche DPO che arrivano da ambiti di studio del tutto inconferenti (elemento che, di per sé, non rende inidonea la nomina o inadeguata la carica, dipende infatti dalla preparazione del soggetto).
La maggioranza delle aziende rispondenti ha dichiarato che i DPO rispondono ai consigli di amministrazione mentre il 14% risponde al general counsel, il 13% al responsabile della compliance, il 6% al CIO e il 2% al CISO.
Insomma, un panorama frastagliato anche se, ad avviso dello scrivente, l’unica risposta veramente corretta e priva di rischi in termini di conflitto di interessi è quella di chi ha dichiarato che il DPO risponde al board.
Interessanti sono state le risposte alle domande effettuate in relazione al team di supporto al DPO.
Ben il 63% dei rispondenti ha dichiarato che il DPO ha un team e questa percentuale cresce fino all’80% nel mondo finanziario. Curiosamente, nella sanità queste percentuale scende al 45%.
Quanto tempo viene dedicato all’attività di DPO nelle imprese?
Ebbene, nel caso di DPO interno si passa dal 41% delle imprese che hanno dichiarato oltre 250 giorni di lavoro all’anno al 28% che ha dichiarato meno di 50.
Nel caso di DPO esterno nessuna azienda ha risposto oltre 250 giornate di lavoro mentre ben il 66% ha dichiarato meno di 50.
I budget:a fronte di un 15% che ha dichiarato un budget per il DPO di meno di 10.000 euro, il 20% ha risposto oltre 200.000.
Sono cifre importanti che devono fare riflettere perché significa che oggi esiste una figura dotata di budget, di team con ampi poteri di analisi interna e con voce in capitolo in tutte le scelte che l’azienda fa nel trattamento dei dati personali che spesso vuol dire poter intervenire in tutti i progetti di innovazione digitale più importanti.
Nomina di un DPO: quando è obbligatoria?
Il DPO non è individuato per un particolare corso di studi, un’attestazione formale o un’iscrizione in un apposito albo per ricoprire tale posizione, ma è necessario che il soggetto scelto abbia una conoscenza approfondita della normativa e delle prassi in materia di data protection, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Il DPO non ha solo conoscenze giuridiche, ma anche tecniche e informatiche, che gli consentono di essere in grado di valutare sistemi di gestione di dati personali (es. misure di sicurezza).
Il GDPR individua i principali compiti di questa figura e stabilisce i casi di obbligatorietà della nomina di un DPO.
Quando deve essere nominato un DPO? La normativa ci dice che il titolare del trattamento e il responsabile del trattamento designano sistematicamente un DPO ogniqualvolta:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (salute, vita sessuale, opinioni politiche o sindacali oltre a quanto altro previsto dall’Art. 9 del GDPR) o di dati relativi a condanne penali e a reati.
Un gruppo imprenditoriale ha diritto di nominare un unico responsabile della protezione dei dati, a condizione che un DPO sia facilmente raggiungibile da ciascuno stabilimento ed ancora, qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico DPO può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
Le principali mansioni del DPO
Innanzitutto, il DPO deve informare e fornire consulenza al titolare o al responsabile del trattamento in ordine all’applicazione e evoluzione della normativa in materia di dati personali.
In secondo luogo, deve sorvegliare l’osservanza del GDPR e della normativa applicabile.
Il tema del controllo è di particolare rilevanza perché la complessità dei trattamenti è in via di aumento in tutte le imprese e pubbliche amministrazioni e come ampiamente dimostrato dalle sanzioni delle autorità competenti l’assenza di controllo determina spesso attività illecite e importanti rischi sanzionatori.
Il DPO collabora, inoltre, con l’autorità di controllo (il Garante) e funge a tale scopo da punto di contatto.
Ancora, il DPO fornisce, se richiesto, un parere in merito alla valutazione di impatto (DPIA) effettuata dal titolare (anche se il nostro consiglio è di coinvolgere sempre il DPO).
Infine, elabora e mantiene aggiornato il registro dei trattamenti e supporta la valutazione di rischio effettuata dal titolare in merito ai trattamenti.
In tutta evidenza, si tratta di compiti molto complessi che solo soggetti ampiamente preparati possono porre in essere, soprattutto nelle strutture più complesse.
Per chi decidesse di avventurarsi in questo ambito, sicuramente di moda e in crescita in questo momento storico, non possiamo che suggerire di prepararsi adeguatamente e procedere progressivamente, accettando incarichi in strutture complesse solo quando si è veramente preparati e ciò anche al fine di assumere le rilevanti responsabilità che derivano dall’incarico (con i rischi anche risarcitori connessi) solo dopo essere effettivamente pronti da tutti i punti di vista.
A tal fine, si suggerisce anche di stipulare una idonea assicurazione assolutamente opportuna quando si ricoprono incarichi dove, per un errore o una distrazione, un cliente può vedersi condannare a sanzioni di molti milioni di euro.
di Avv. Gabriele Faggioli; Digital 360 S.p.A. e Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica).