Prodotti e servizi

Come scegliere un DPO

Il DPO, Date Protection Officer, è la figura introdotta dal GDPR, General Date Protection Regulation, che si occupa all’interno di un’ azienda, di organizzare il trattamento dei dati e gestire i rischi nel rispetto delle normative del Regolamento Europeo.
Il Date Protection Officer, in Italia conosciuto come RPD, Responsabile della Protezione dei Dati, si occupa della consulenza tecnica e legale, con potere esecutivo dell’azienda.
Per l’appunto il suo compito non riguarda solo consigliare e sorvegliare le operazioni aziendali, ma ricopre anche il ruolo di mediatore fra organizzazione ed autorità.

Compiti del DPO: ecco quali sono

Le sue funzioni, svolte in piena autonomia ed indipendenza, sono mostrate nel GDPR riguardano i seguenti punti specifica:

• sorvegliare che vengono osservate le norme vigenti sulla privacy del Regolamento Europeo

• fornire informazioni e consigli al Titolare del trattamento, sugli obblighi derivanti dal Regolamento e della normativa di privacy

• supportare il Titolare nel redarre il Registro dei trattamenti dei dati

• collaborare con il Titolare e Responsabile del trattamento per valutare il DPIA, Data Protection Impact Assessment; una procedura finalizzata ad analizzare un trattamento dei dati personali, qualora questi presenta un rischio elevato, al fine di poterlo gestire per i diritti e le libertà delle persone fisiche che ne derivano.
Ad esempio, comuni, scuole, ospedali, ed enti pubblici che hanno un sistema di sorveglianza devono obbligatoriamente fare la DPIA

• svolgere un’ attività di cooperazione con l’ Autorità Garante, riguardante la protezione dei dati personali e ricoprire il ruolo da elemento di contratto fra quest’ultima e il Titolare del trattamento

• essere consultato in caso di violazione dei dati, ovvero il rilascio intenzionale e non, di informazioni private.
Assistendo il Titolare del trattamento qualora si necessita di redigere una notifica al Garante.

• svolgere un attività di controllo sugli addetti ed i responsabili esterni durante i vari processi di trattamento dei dati.
Tale compito ha una grande importanza, se si pensa a tutte le persone che lasciano le loro generalità personali agli enti pubblici o privati in tantissime occasioni.

In seguito all’attività di controllo da parte del DPO, questo redige il rapporto di sorveglianza, obbligatorio per legge, dove vengono indicate le misure impiegata per la protezione dei dati e le loro relative conformità.
A questo punto sarà compito del titolare dell’ azienda la scelta delle misure da adottare, e quella di segnalare o meno una violazione delle privacy.

Come scegliere un DPO

La figura del Date Protection Officer è obbligatoria non solo nelle grandi aziende ed imprese, ma è richiesta anche in tutte le attività di pubblica amministrazione e in casi specifici anche in ambito privato.
Ma come scegliere un DPO?
Il Garante afferma che il Responsable della Protezione dei dati personali può essere scelto in due modi; fra i dipendenti aziendali oppure può essere nominato un soggetto esterno all’ azienda, avvocato, ingegnere o libero professionista.
Scegliere un DPO, significa eleggere una persona che possiede una conoscenza approfondita a riguardo delle normative e delle regole in materia di privacy, nonché la gestione dei dati personali.
Oltre ad avere la giusta competenza del settore specifico, ad esempio nelle realtà dove il trattamento dei dati attuati è principalmente alta ( come nel settore sanitario ed igienico ).
Il DPO ha inoltre a sua disposizione un personale, locali e strumenti necessari per svolgere i suoi compiti, oltre a un budget inerente alla difficoltà dell’ organizzazione, in quanto un candidato DPO può esercitare un ruolo di dirigente o di manager.
Per la scelta del DPO, nelle norme attuali vigenti non è richiesta ai candidati nessuna certificazione o attestati delle competenze professionali, ma contrariamente il Garante Della Pravacy afferma che le competenze richieste sono quelle specifiche non quelle formali.
A tale proposito, non è infatti istituito nessun albo a riguardo dei Responsabili dei Dati Personali, dove vengono indicati i dati relativi la competenza degli iscritti.

Meglio un DPO interno o un DPO esterno?

Un’ azienda ha il diritto di poter nominare un Data Protection Officer interno oppure esterno.
Ciò significa che può sceglierlo fra un suo dipendente aziendale o un collaboratore esterno, persona fisiche o giuridica con partita Iva, attraverso un contratto di servizi.
Dal punto di vista legislativo scegliere l’uno o l’altro non comporta nessuna differenza ma nella realtà aziendale è diverso.
Da più di un anno dall’ introduzione del DPO, applicata dal GDPR, è possibile fare un quadro della situazione relativamente al conflitto di interessi che riguardano tale figura interna oppure esterna che sia.
Il discorso centrale di tale periodo riguarda, non solo la valutazione dei vantaggi che tale figure può portare all’interno dell’ ordine aziendale, ma altresì capire se la giusta individuazione del soggetto da nominare è all’ interno della propria azienda o è opportuno giovarsi di professionisti esterni.
In quest’ ultimo caso, mentre l’indipendenza dovuta alla non interferenza nelle attività dell’azienda è un punto più facile da raggiungere rispetto a un DPO interno; il conflitto di interessi deve essere rispettoso, tenendo conto di certe peculiarità del DPO esterno.
Partendo dalla figura del DPO interno, questo può svolgere anche altre mansioni all’ interno dell’ azienda, eccetto quelle di prestigio, (vendite, marketing, finanza e via dicendo ) ma deve avere il tempo necessario per lo svolgimento dei propri compiti.
Quindi per una buona organizzazione è bene che non ci sia conflitto fra il DPO, e chi si occupa dei processi decisionali riguardante il trattamento della protezione dei dati.
Questo può succedere quando gli interesse del Titolare dei trattamenti dei dati non sono conformi con le norme stabilite dal GDPR, in tal caso sarà compito del DPO permettere che l’azienda continui a svolgere le proprie attività nella giusta direzione, seguendo le opportune leggi.
Con riferimento a qust’ ultimo punto, invece, la posizione del DPO esterno è totalmente diversa.
Il soggetto eletto fuori dalla realtà aziendale, ha come obbiettivo quello di essere riconfermato come DPO, quindi cerca di non scontentare mai le decisioni prese dal Titolare del trattamento.
È quindi opportuno un contratto di servizio, per un periodo moderatamente lungo, con ipotetici rinnovi.
Un rapporto di collaborazione lavorativa impostata in questo modo permette al DPO di lavorare con maggiore attenzione, conseguentemente
alla società di procedere al controllo e gestione del trattamento dei dati personali con una maggiore perspicacia nel corso del tempo, limitando i conflitti di interesse del DPO.

Quali sono i benefici e svantaggi di un DPO interno ed esterno

La valutazione dei pro e contro riguardanti l’ aspetto di tale figura interna ed esterna all’azienda dipende dalle circostanze.
Analizziamo meglio questi aspetti in entrambi i casi.
I benefici che si hanno nella nomina di un DPO interno sono: la sua conoscenza in maniera accurata dell’andamento dell’azienda e di eventuali problemi, permette all’ azienda di poter contare su una presenza fisica continua, e aggiornata costantemente in merito ad ogni aspetto organizzativo.
La nomina di un DPO esterno invece garantisce il vantaggio di avere un collaboratore professionista, con una conoscenza approfondita a riguardo della normativa e con un elevata dimestichezza nel campo.
Oltre ad essere fornito di mezzi e risorse specifici e di una formazione indipendente.
Poiché il contratto lavorativo può mutare nel tempo la sua scelta è teoricamente più economica.

Per quanto concerne gli svantaggi, nella scelta di un DPO interno si evidenziano due aspetti negativi: la possibilità che subisca intimidazioni all’interno dell’ azienda e il rischio dei conflitto di interessi.

Invece, qualora il DPO esterno scelto dall’ azienda, riguardi un libero professionista gli svantaggi sono notevoli, nella situazione in cui questi ha lo stesso rapporto di lavoro per altre aziende, oltretutto come libero professionista può anche svolgere altri incarichi.
Questo porta come conseguenza lo svolgimento non corretto della propria funzione, ad eccezione in cui dispone di collaboratori professionisti che controllano il campo, senza la necessità di esercitare all’ interno dell’ azienda.