Le aziende non conoscono il DPO “Data Protection Officer“, la nuova figura al centro del GDPR, il regolamento europeo sulla protezione dei dati 2016/679, anche nei casi in cui ne hanno l’obbligo di designazione. Tale regolamento, che armonizza a livello europeo gli obblighi in materia di dati personali, riguarda tutte le società di diritto privato e gli enti pubblici. Il DPO, quando formalmente designato sulla base di criteri di obbligatorietà oppure su base volontaria, sorveglia e consiglia le società, e vigila sul rispetto delle normative europee e nazionali sulla protezione dei dati. La sua designazione è obbligatoria in alcuni casi.

IN QUALE CASO NOMINARE UN DPO?

La nomina di un DPO è obbligatoria per:

  • società le cui attività di base le portano a svolgere un monitoraggio regolare e sistematico delle persone su larga scala;
  • autorità o enti pubblici;
  • società il cui core business prevede il trattamento su larga scala di dati sensibili o relativi a condanne penali e reati.

Per capire meglio in quale situazione un’organizzazione dovrebbe nominare un DPO, è necessario un chiarimento dei criteri determinanti indicati sopra.

  • LARGA SCALA: sono trattamenti di «una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato» (Considerando 91 del GDPR).
  • MONITORAGGIO REGOLARE E SISTEMATICO: Il GDPR non definisce la nozione di “monitoraggio regolare e sistematico” delle persone fisiche, ma fa l’esempio del tracciamento e della profilazione online a fini di pubblicità comportamentale (considerando 24 del GDPR). Diverse interpretazioni sono da considerare per l’espressione “regolare e sistematico”:

• «REGOLARE» va inteso come: continuo o che si verifica ad intervalli regolari in un periodo di tempo; ricorrenti o ripetuti ad orari prestabiliti; che si svolgono costantemente o periodicamente.

• «SISTEMATICO» va inteso come: un’operazione che avviene secondo un sistema predisposto, organizzato o metodico; nell’ambito di un programma generale di raccolta dei dati; svolto nell’ambito di una strategia.

Il GDPR non prevede una soglia applicabile per la nozione di “larga scala”. Lo stesso vale per i trattamenti con monitoraggio regolare e sistematico. Questa decisione è lasciata all’organizzazione supportata da un’analisi caso per caso per valutare questo punto con un esperto, sulla base del principio di accountability. Questa analisi e il ragionamento che la supporta vanno utilmente integrati nella documentazione GDPR conservata dall’organizzazione. 

In ogni caso, anche al di fuori dei 3 scenari definiti dall’art. 37 del GDPR che necessitano sempre un’analisi dettagliata, il Garante consiglia la nomina di un DPO quando la società tratta un volume significativo di dati personali e necessita un supporto tecnico giuridico per le operazioni eseguite in ambito. In questo caso, la società affida ad un esperto l’individuazione e il coordinamento, tramite programmi di vigilanza, delle azioni per una gestione conforme e responsabile dei dati personali.

IDENTIKIT DEL DPO

Il DPO è lo “CHEF D’ORCHESTRA” dei dati personali. È una funzione di nuova generazione che non trova un profilo tipico, perché va adattata al contesto. Il GDPR richiede solo che il DPO abbia un certo livello di competenza e sia indipendente.

Il DPO deve quindi possedere un discreto livello di conoscenza in ambiti diversi e un’esperienza consolidata per gestire la pluralità di situazioni che si possono presentare e per le quali deve esprimere la propria opinione o controllare il regolare svolgimento della conformità dei processi.

Come dicevamo, le abilità del DPO fanno parte di una lunga lista, un po’ come la famosa lettera a Babbo Natale:

  • competenze in ambito legale e tecnico in materia di protezione dei dati;
  • conoscenza del settore di attività e della normativa di settore;
  • conoscenza dei processi dell’organizzazione, dei sistemi informativi ed informatici;
  • capacità a valutare il livello di sicurezza e di protezione dei dati della società;
  • capacità a formulare delle raccomandazioni e verificare la loro implementazione;
  • per un’autorità pubblica o un ente pubblico, una buona conoscenza delle norme e procedure amministrative applicabili.

Un metodo per verificare le competenze in questo ambito sono le certificazioni DPO. Tuttavia, non è obbligatorio essere certificati per essere designati DPO. Oltre al livello di competenza, il DPO deve possedere alcune qualità personali dette soft skills per gestire la molteplicità di situazioni che si possono presentare come l’integrità, l’alto livello di etica professionale, la capacità di comunicare, la gestione delle richieste ed ispezione dell’autorità di controllo, lo spirito di sintesi, di analisi e di anticipazione.

Abbiamo capito che il DPO non può agire da solo e deve necessariamente fare affidamento su profili specializzati durante le sue missioni di controllo per poter mettere la propria expertise al servizio dell’azienda.

Secondo l’autorità, «ogni organizzazione è libera di organizzare la funzione DPO interno o esterno secondo le proprie esigenze. Si tratta di una scelta che spetta ad ogni società in funzione del proprio settore di attività, dei rischi potenziali individuati e della sua organizzazione.».

Il puzzle si apre quindi per le aziende che scelgono l’opzione del DPO interno e che cercano nell’organigramma il soggetto che potrebbe svolgere tale funzione in assenza di conflitti di interesse.

La reale indipendenza del DPO, nel suo ruolo di analisi e consulenza, presuppone il rispetto di due tipi di imparzialità:

• imparzialità oggettiva: il DPO non è giudice e parte, perché non è tenuto a verificare quanto da lui stesso deciso, da solo o congiuntamente;

• imparzialità soggettiva: il DPO è al riparo da influenze guidate da interessi divergenti, tali da alterare la libertà delle sue posizioni.

Per quanto riguarda il DPO esterno, tale funzione può essere esercitata sulla base di un contratto di servizio stipulato con una persona fisica o giuridica specializzata in questo campo che presenta diversi vantaggi:

  • La soluzione in assenza di risorse interne qualificate;
  • L’utilizzo dell’esperienza e degli strumenti di vigilanza sviluppati esternamente, come per un auditor;
  • La specializzazione del DPO in un settore di attività;
  • La conoscenza delle migliori pratiche per organizzazioni simili;
  • La conoscenza e l’esperienza della gestione dell’esercizio dei diritti degli interessati;
  • L’utilizzo del benchmark in situazioni critiche;
  • L’assenza di rischio di conflitto di interessi in quanto la funzione è specifica;
  • Il budget è negoziato per un’assegnazione di tempo sufficiente;
  • L’autonomia del ruolo per assenza di nesso gerarchico e con un contratto pluriannuo (si consiglia 3 anni come per altri organi di controllo);
  • L’organizzazione di incontri e contatti regolari con il più alto livello dirigenziale, nonché con i team aziendali per mantenere la vicinanza e l’ufficialità degli scambi;
  • L’utilizzo di un professionista che abbia esperienza in situazione di violazione dei dati personali c.d. Data Breach e di ispezione del Garante.

LA SOLUZIONE ALL’ASSENZA DI RISORSE INTERNE

È quindi naturalmente più indicato reperire competenze esterne piuttosto che individuare internamente una risorsa che deve compiere sforzi formativi colossali, significativi anche in termini di budget, avere difficoltà a fare esperienza in materia per poter garantire il proprio ruolo di vigilanza e rischiare di trovarsi in situazione di conflitto di interesse.

RISCHI DI ASSENZA DI DESIGNAZIONE O ERRATA DESIGNAZIONE

Il GDPR informa che la società che non ha designato un DPO, quando tale designazione è obbligatoria, si espone ad una sanzione, che potrebbe in particolare assumere la forma di avvertimento o di una sanzione amministrativa pecuniaria fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Alcune autorità europee hanno sanzionato società che hanno nominato DPO interni non ritenuti conformi, come il Lussemburgo o l’Italia in quanto valutati in conflitto di interesse. 

È quindi importante scegliere il proprio DPO secondo i criteri dettati dalla legge.

YOURgroup supporta le società nell’individuazione di un DPO esterno in conformità con la legge con fractional manager di grande esperienza in organizzazioni con competenze tecnico – giuridiche adeguate per tale funzione. 

Fabienne Flesia
Fabienne FlesiaSenior Advisor yourCFO
Autore dell'articolo

Diego Fiorentini

Managing Partner di yourCFO Svizzera