Il ruolo del DPO (Data Protection Officer) così come previsto e disciplinato dagli articoli 37 e seguenti del regolamento UE n. 2016/679 è davvero molto delicato poiché funge da punto di raccordo fra il titolare ed il responsabile da un lato e l’Autorità Garante dall’altro. E’ una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie. E’ evidente che per svolgere la sua funzione di consulenza ha necessità di avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo.

Tale figura può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Quest’ultimo aspetto per la verità risulta poco conciliabile con le pubbliche amministrazioni per le quali è previsto proprio l’obbligo della nomina del DPO. Difatti la cronica mancanza di fondi renderà davvero difficile per gli enti pubblici esternalizzare la figura del DPO, di conseguenza appare evidente che in un ambito pubblicistico sarà necessario rivolgersi a proprie risorse interne presumibilmente di rango elevato (dirigenti o funzionari) solo previa specifica formazione, davvero indispensabile in tale settore.

Altra situazione sarà nel settore privatistico, dove, nel rispetto del principio di accountability, molte aziende particolarmente esposte dal punto di vista privacy per l’attività svolta ed i dati trattati (basti pensare ad aziende che operano nel mondo bancario, sanitario o delle telecomunicazioni) dovrebbero investire in modo appropriato e consapevole nel campo della protezione dei dati personali assicurandosi la consulenza di professionisti competenti e degni di fiducia con contratti che prevedano un impegno di almeno 4 anni rinnovabili.

Come è noto la figura del DPO non costituisce una novità assoluta. La direttiva 95/46/CE non prevedeva alcun obbligo di nomina di un DPO, ma in molti Stati membri questa è divenuta una prassi nel corso degli anni.

Si ricorda, difatti, che il DPO è già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria, la Repubblica Ceca; in altri ordinamenti, come la Francia ed il Lussemburgo, la nomina di tale soggetto è facoltativa.

Il nuovo regolamento europeo per la protezione dei dati (GDPR) e i relativi adempimenti seminario di studio, 7 ore in aula Iscriviti subito!

Ma quale dovrà essere l’approccio di un DPO una volta assunto da un’azienda o da un ente?

Naturalmente non esistono delle regole uniche poiché è ovvio che ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione.

Conoscere tutti gli aspetti organizzativi dell’azienda o ente: il DPO deve necessariamente analizzare ed approfondire il core business dell’azienda o comunque i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento. Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules). In genere questo tipo di attività viene svolto attraverso la diretta compilazione dei registri delle attività di trattamento che, come già si è avuto modo di vedere, per quanto considerate a livello di Regolamento attività proprie del titolare e del responsabile del trattamento, alla fine vengono svolte dallo stesso DPO, più che altro, per ragioni di opportunità. Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente. Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie (videosorveglianza, biometria, Rfid, big data, uso della rete per attività di marketing, profilazione, posta elettronica aziendale, sistemi automatici decisionali ed utilizzo dell’IA, tecnologie robotiche, cloud computing, IoT, ecc.). Analizzare l’impatto delle predette nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di una Data Protection Impact Assessment (DPIA). Siamo di fronte ad una della attività più importanti disciplinate dal Regolamento europeo per la quale oltre, ovviamente, ai vari suggerimenti delle autorità garanti (v. linee guida del 4 aprile 2017) è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” di prossima pubblicazione che propone: un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti. Aiutare il titolare del trattamento nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento. Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi. Supportare il titolare del trattamento nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati. Aiutare l titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni. Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO. Curare i rapporti con l’Autorità garante su tutte le tematiche che dovessero investire l’azienda o l’ente in materia di privacy. Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

In termini ancora più generali possiamo individuare le seguenti attività che dovranno rappresentare un punto di riferimento continuo per un DPO:

Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali);

Gestione archivio dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati);

Policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi);

Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy);

Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi);

Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, - policy, requisiti, e tolleranza del rischio operativo);

Comunicazioni (informazioni e comunicazioni agli individui coerenti con la politica privacy);

Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali);

Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l'attuazione della Privacy by design );

); Gestione data breach;

Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy;

Best practices.

Il software on cloud per gli avvocati? È Kleos L'innovativo software gestionale per Avvocati e Studi Legali in cloud computing offre la libertà di gestire tutte le attività di studio da computer e da dispositivi mobili, migliorando la qualità del lavoro e del servizio offerto. Richiedi la prova gratuita

(Altalex, 13 luglio 2017. Articolo di Michele Iaselli)