I Dati: la figura del DPO in Italia

Co-autore Dott. Luca Biffi

Quella del Data Protection Officer (DPO), in italiano Responsabile per la Protezione dei Dati, è stata più volte definita come una delle professioni del futuro, il cui fabbisogno da parte di imprese e altre organizzazioni a livello europeo è destinato a crescere a ritmi vertiginosi.

Quando e come è nata questa figura, quali sono i suoi compiti e quali sono le skills che deve possedere?

Di matrice preminentemente anglosassone, il ruolo del responsabile della protezione dei dati è stato introdotto per la prima volta in Germania nel 1970, per poi trovare spazio nella Direttiva UE 95/96 (con il nome di “privacy officer”).

Il vero punto di svolta è stato raggiunto con l’entrata in vigore del Regolamento UE 679/2016 (il famoso “GDPR”) che, oltre a descriverne chiaramente le mansioni, ha addirittura previsto l’obbligo da parte di determinate categorie di organizzazioni di dotarsi di un DPO, attribuendogli così una rilevanza tutt’altro che di facciata.
Occorre chiarire, in via preliminare, che il DPO deve necessariamente essere un soggetto dal background giuridico: deve infatti comprendere la normativa, europea e nazionale, integrandola con altri corpi normativi (ad esempio il diritto del lavoro), monitorando l’evoluzione della stessa per mezzo delle pronunce dello European Data Protection Board, nonché del Garante italiano della Protezione dei Dati.

Questa attività non può che essere svolta da un giurista, ancorché in coordinamento con altre figure (quali esperti informatici), come spiegheremo nel prosieguo.

Come poc’anzi anticipato, l’art. 37 del GDPR prevede tre casi tassativi in cui si rende obbligatoria la nomina di DPO: qualora il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, quando le attività dell’organizzazione richiedano il monitoraggio regolare e sistematico degli interessati su larga scala, o ancora nell’ipotesi in cui le attività principali consistano nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Il comma 6 dello stesso art. 37 consente al titolare/responsabile del trattamento di nominare DPO, in via alternativa, un proprio dipendente oppure un soggetto esterno che assolva i propri compiti in virtù di un contratto di servizi.

Tale decisione dovrà essere assunta in base alla mole di attività correlata al trattamento dei dati che coinvolge l’azienda: affidarsi a un professionista esterno, probabilmente nominato DPO da una moltitudine di aziende, è generalmente consigliabile a enti i cui trattamenti, effettuati per sé o per conto di altri, siano modesti; al contrario, laddove la numerosità delle operazioni di business o altre circostanze richiedano un focus esclusivo, il DPO dovrà senza dubbio essere un soggetto stabilmente inserito nell’ente, capace di interloquire e supportare il titolare/responsabile in ogni momento.

Dalla lettura dell’art. 39 del Regolamento emerge la doppia natura della funzione attribuita al DPO: da un lato questi deve “informare e fornire consulenza al titolare o al responsabile del trattamento” (ai rispettivi soggetti apicali e dipendenti); dall’altro lato è suo preciso obbligo verificare la conformità dell’organizzazione che lo ha nominato alle normative che disciplinano a vario titolo il trattamento dei dati.

Il Data Protection Officer è quindi il punto di riferimento per le tematiche legate alla privacy: le funzioni aziendali, in caso di nuove modalità e finalità di un determinato trattamento di dati personali, dovrebbero sempre consultarlo, rappresentandogli le esigenze che intendono perseguire e le modalità ipotizzate a tal fine.

Pensiamo a quanto accaduto a causa della pandemia che da febbraio 2020 ha avuto un importante impatto sul trattamento dei nostri dati: i DPO, sulla scorta del parere del Garante, sono intervenuti evitando trattamenti “fai da te” da parte dei datori di lavoro consistenti per lo più nella raccolta maldestra di dati sullo stato di salute dei dipendenti. Hanno supportato le direzioni del personale nell’implementazione di procedure sicure per gestire gli accessi in azienda, consigliando le modalità di raccolta dei dati sanitari, i sistemi informativi su cui gli stessi avrebbero dovuto essere conservati, nonché i tempi di retention.

Analogamente, il DPO si accerta che le attività di marketing diretto aziendali siano condotte conformemente al Regolamento e ai pareri che nel tempo il Garante ha emanato, sulla base di un rapporto commerciale già in essere con il destinatario, oppure sulla base di un consenso espresso.

Al DPO spetta verificare che gli strumenti informatici di cui l’organizzazione si avvale, propri o messi a disposizione da fornitori di servizi informatici e il cui utilizzo è oramai prevalente rispetto agli archivi cartacei, siano idonei a garantire la sicurezza del trattamento: ecco perché è richiesta da parte sua una conoscenza almeno basica delle misure tecniche di sicurezza, la cui implementazione dovrebbe essere verificata con l’ausilio di altre figure (es. IT manager).

A tal proposito, un buon sistema di gestione è assicurato dalla presenza di un team interdisciplinare: in Fincons, ad esempio, è stato costituito un Information Security Committee, in cui il DPO può contare sulla competenza informatica e sulla conoscenza dei diversi sistemi informativi degli altri membri del comitato. Quest’ultimo si riunisce periodicamente, si confronta sul livello di compliance del sistema di gestione aziendale e stabilisce le eventuali azioni correttive o migliorative da intraprendere.

In caso di violazione di sicurezza (dovuta, ad esempio, allo smarrimento di un dispositivo elettronico aziendale o a un attacco hacker), il DPO si confronterà con i componenti dell’organo per determinare il reale rischio di diffusione, modifica o perdita di dati personali; metterà in atto, quindi, tutte le misure di mitigazione e contenimento del danno e, se del caso, avvierà il processo di notifica del data breach al Garante o agli interessati stessi laddove rilevi una minaccia per le loro libertà e diritti, come stabilito dagli artt. 33 e 34 del GDPR.

Se da un lato, quindi, il DPO verifica costantemente la presenza e l’efficacia delle misure tecniche di sicurezza, dall’altro è suo preciso dovere intervenire per minimizzare l’insidia più comune: l’errore umano.

Proprio per questo è necessario sensibilizzare il personale, rendendolo consapevole dei rischi che le moderne tecniche di social engineering rappresentano. A tal proposito, occorre predisporre un piano di formazione specifico, possibilmente seguito da una fase valutativa.

L’utilizzo sempre crescente di tecnologie evolute, quali la blockchain e l’intelligenza artificiale, renderà indispensabile non soltanto un maggior numero di Responsabili della Protezione dei Dati, bensì competenze più trasversali (giuridiche e tecniche). Non certificazioni e diplomi dal dubbio valore, ma una esperienza sul campo e un costante aggiornamento circa le best practises per garantire una reale tutela del “petrolio del XXI secolo”, ovverosia delle informazioni concernenti gli esseri umani.

leggi anche

Come costruire una startup innovativa: on line o dal notaio?