Il Regolamento Generale per la Protezione dei dati personali (Regolamento UE n. 679/2016, comunemente chiamato “GDPR”) ha introdotto la figura del Data Protection Officier (“DPO” o Responsabile Protezione Dati), che alcune categorie di aziende hanno l’obbligo di nominare, sotto pena severe sanzioni. Di seguito illustriamo sinteticamente quali siano le aziende che devono provvedere alla nomina obbligatoria del DPO e chiariremo i delicati compiti di questa nuova figura professionale specializzata, che può anche fornire un contributo all’efficienza aziendale (ad esempio, suggerendo modifiche all’organigramma, ai processi ed alle procedure operative seguite, oppure relativamente agli strumenti ed alle procedure informatiche utilizzate, compresi il sito internet, l’area riservata, ecc.).
Cosa si intende per DPO?
Il DPO (Data Protection Officer in inglese o Responsabile della protezione dei dati personali RPD) è previsto dall’art. 37 del GDPR e viene nominato dal titolare o dal responsabile del trattamento per supportare l’azienda nel delicato compito di creare e mantenere un’organizzazione aziendale in grado di trattare i dati personali nel rispetto del GDPR e delle altre normative applicabili.
Quali sono i compiti del DPO?
Il DPO assolve a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR. I suoi compiti sono stabiliti dall’art. 39 GDPR:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi relativi alla protezione dei dati;
b) sorvegliare l’osservanza del GDPR (e delle altre fonti normative UE o nazionali), nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 GDPR;
d) cooperare con l’autorità di controllo (il Garante Privacy), per eventuali audizioni, accertamenti ispettivi o riunioni svolte a vario titolo;
e) fungere da punto di contatto per il Garante Privacy per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Qual è il ruolo del DPO in Azienda?
Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento e può essere contattato dagli interessati (es. clienti, pazienti, ecc.) per tutte le questioni relative al trattamento dei loro dati personali e relativi diritti.
Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti.
Il DPO rappresenta un indispensabile aiuto per il titolare e il responsabile del trattamento. Infatti deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Il DPO deve essere indipendente e non avere conflitti di interesse. L’indipendenza del DPO deve essere salvaguardata dal titolare e dal responsabile del trattamento, che si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.
Il DPO deve essere interno o esterno all’azienda?
Il DPO può essere sia interno (un dipendente) che esterno (un consulente) all’azienda.
In ogni caso, è necessario individuare una figura priva di conflitti di interessi con i propri compiti e funzioni.
Ad esempio, il DPO interno appare incompatibile con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.).
Infatti, abbiamo recentemente commentato su questo sito il provvedimento del Garante che ha sanzionato il Comune di Villabate (anche) per aver designato quale DPO il responsabile del settore Affari Generali del Comune, in attesa di individuare idonea figura esterna.
Tuttavia, anche il DPO esterno può avere problemi di indipendenza. Infatti, esso non appare compatibile con soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi, quali ad esempio il fornitore di servizi IT, la software-house, ecc.
Un avvocato che abbia le necessarie competenze (giuridiche e tecniche) ed esperienza è una soluzione che consente di garantire l’assenza di conflitto di interessi e l’indipendenza del DPO, poiché l’art. 24, co. 2 del Codice di Deontologia Forense, secondo cui “L’avvocato nell’esercizio dell’attività professionale deve conservare la propria indipendenza e difendere la propria libertà da pressioni o condizionamenti di ogni genere, anche correlati a interessi riguardanti la propria sfera personale“.
Quando un’azienda deve nominare il DPO?
Secondo l’art. 37 GDPR, il DPO deve essere nominato dal titolare o dal responsabile del trattamento nei seguenti casi:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Quali tipologie di aziende devono obbligatoriamente nominare il DPO?
Sulla base degli obbighi descritti al punto 9, devono obbligatoriamente nominare il DPO le seguenti tipologie di aziende:
1 – concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.);
2 – istituti di credito;
3 – imprese assicurative;
4 – sistemi di informazione creditizia;
5 – società finanziarie;
6 – società di informazioni commerciali;
7 – società di revisione contabile;
8 – società di recupero crediti;
9 – istituti di vigilanza;
10 – partiti e movimenti politici;
11 – sindacati; caf e patronati;
12 – società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.);
13 – imprese di somministrazione di lavoro e ricerca del personale;
14 – società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
15 – società di call center;
16 – società che forniscono servizi informatici;
17 – società che erogano servizi televisivi a pagamento.
Si tratta di un elenco esemplificativo, ma non esaustivo.
Ciò significa che anche un’azienda che non rientra negli esempi sopra riportati sarà obbligata alla nomina del DPO se ricorrono i requisiti previsti dall’art. 37 GDPR.
Cosa significa DPO Certificato UNI 11697:2017
Si tratta di un DPO le cui competenze ed esperienza sono state certificate secondo la Norma UNI 11697: 2017, relativa alle “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personal¡- Requisiti di conoscenza, abilità e competenza”.
La certificazione è rilasciata da un Organismo di certificazione del personale accreditato secondo la norma ISO/IEC 17024, all’esito di uno specifico esame.
Per l’accesso all’esame di certificazione – oltre alla laurea relativa a conoscenze giuridiche, legali e/o informatiche e ad un corso di 80 ore relativo alla gestione della privacy e della sicurezza delle informazioni – è necessario avere maturato una esperienza lavorativa di 6 anni legata alla privacy, di cui almeno 4 anni con incarichi di livello manageriale.
Per questo motivo, sebbene non sia un requisito necessario per lo svolgimento dell’attività di DPO, la certificazione rappresenta per il titolare del trattamento un indice di competenza del proprio DPO ed anche un elemento per dimostrare la razionalità del metodo utilizzato per selezionare e nominare il DPO, basato sulla conoscenza, competenza ed esperienza nel settore.
Quanto costa un DPO esterno?
Non esiste un tariffario per l’attività di DPO e, dunque, il costo del servizio è frutto dell’accordo tra il professionista ed il cliente.
L’ammontare del compenso dipenderà dalla complessità dell’organizzazione aziendale e dalla tipologia di attività e dati personali trattati, che rappresentano indici indiretti del tempo che sarà necessario dedicare all’azienda per ottenere risultati ottimali.
In ogni caso, abbiamo sviluppato formule tariffarie e contrattuali flessibili, che consentono a qualunque azienda di nominare il proprio DPO, modulando costi, tempo e modalità di svolgimento dell’incarico sulle proprie esigenze, senza rigidi vincoli contrattuali.
La nostra filosofia è che il professionista deve eliminare le preoccupazioni dell’azienda, non crearne di nuove.
E per chi non ha l’obbligo di nominare il DPO?
In questo caso, per avere la tranquillità di gestire correttamente il sistema privacy aziendale, sarà sufficiente affidarsi ad un consulente esterno di fiducia. A maggior ragione, anche questo ruolo potrà essere ricoperto da un professionista che abbia conseguito la Certificazione UNI 11697 : 2017 per l’incarico di DPO.
Per maggiori informazioni sui vantaggi della figura del DPO esterno o preventivi sulla GDPR Compliance, potrete contattare l’Avv. Emanuele Nati, che ricopre dall’anno 2018 il ruolo di DPO ed ha conseguito la certificazione secondo la norma UNI 11697:2017.
Avv. Emanuele Nati
