Una delle novità introdotte dal GDPR è la figura del Data Protection Officer (D.P.O.) oppure Responsabile della Protezione dei Dati personali (R.P.D.); tale ruolo è obbligatorio nelle maggioranza delle organizzazioni pubbliche ed in alcune tipologie di aziende private , i quali trattamenti determinano rischi elevati verso i soggetti interessati.
Molti non hanno ancora ben chiaro quali siano le caratteristiche di tale figura; sicuramente deve avere competenze multidisciplinari, relative a conoscenza giuridiche, dei processi informativi, amministrativi e gestionali della propria organizzazione, ma anche concetti di sicurezza informatica e dei rischi derivanti da modalità di trattamento e dagli strumenti.
Alcuni credono che il superamento di un processo di certificazione abiliti allo svolgimento del ruolo.
Purtroppo per loro, il Garante per la Protezione dei Dati personali italiano ha a suo tempo ribadito come, allo stato attuale, non esista alcun schema di certificazione che abiliti al ruolo di D.P.O.
Infatti, come indicato dal Regolamento UE 679/2016:
“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (Compiti del responsabile della protezione dei dati).
Detto questo, noi siamo comunque certificati secondo lo schema di certificazione delle competenze professionali maggiormente riconosciuto, UNI 11697:2017 (profilo DPO).
Tra le doti caratteristiche più importanti che dovrebbe avere un DPO, e che spesso viene trascurata, è il livello di esperienza maturata; come riprova, nel novembre 2021, l’Autorità garante per la protezione dei dati personali del Lussemburgo, sanzionando una società, ha emanato un criterio molto importante utile a stabilire cosa debba intendersi per “comprovata esperienza”; nel relativo provvedimento si è stabilito che il DPO – per poter essere validamente nominato – debba aver maturato almeno tre anni di esperienza in materia di protezione dei dati personali.
Il D.P.O. è quindi un soggetto che riveste un ruolo complesso, di fatto un mix tra consulente, promotore, sensibilizzatore, controllore, referente: deve verificare l’applicazione dela normativa di protezione dei dati personali (e quindi non solo il GDPR), supportare, informare e consigliare la “sua” organizzazione, rappresentare il punto di contatto per le Autorità di Controllo ma soprattutto verso gli interessati; in taluni contesti complessi, il ruolo di D.P.O. dovrà essere svolto – per essere adeguato ed efficace – da un team di persone che esprimono coralmente tutte le competenze necessarie al difficile ruolo da svolgere.
Non è quindi un mero consulente; tavolta incontriamo colleghi DPO che – per loro abito mentale in quanto consulenti in altri vari ambiti aziendali – hanno un unico punto di vista: quello del consulente. Il Data Protection Officer non potrà mai essere un mero consulente, che aiuta le aziende a trovare l’escamotage adatto per svolgere quella tipologia di trattamento rischioso; esso deve informare l’azienda che la tipologia di trattamento ipotizzato o progettato determina un rischio troppo elevato, e pertanto segnala che non può essere iniziato sino a che questo livello di rischio non sia ridotto ad un livello accettabile, magari adottando opportune misure o modificando l’architettura del sistema di trattamento.
QUINDI IL DATA PROTECTION OFFICER NON è uno yes-man!
Inoltre, il DPO non è solo un avvocato, un manager, un commercialista, un esperto di diritto, un informatico, un esperto di processi aziendali.
Esso deve effettuare controlli in ambiti organizzativi, legali, di protezione dei dati, nella sicurezza informatica ed informativa (due cose ben diverse), nella organizzazione e/o presso responsabili esterni del trattamento (i data processor della sua azienda).
Quindi deve avere competenze manageriali, legali, nella normativa di protezione dei dati, nei processi aziendali, nella tecnologia e nella informatica, nella sicurezza fisica e cybersecurity, nelle prassi e negli standard internazionali di protezione
SERVE INOLTRE LA CAPACITà DI RENDERE COMPRENSIBILE LA NORMATIVA
Questo è un altro aspetto essenziale del DPO; la normativa privacy (di protezione dei dati personali) è complessa, specialmente per i non addetti ai lavori. Talvolta incontriamo informative scritte in legalese che sono praticamente incomprensibili, mentre esse dovrebbero essere scritte per essere comprensibili a chiunque, in alcuni ambiti ivi compresi i minori. Spesso ci chiediamo se il DPO le abbia mai lette, possibilmente mettendosi nei panni di un quattordicenne, età legale in Italia per esprimere il consenso al trattamento dei propri dati personali nell’ambito dei servizi della società dell’informazione.
Anche nel ruolo di supporto alle funzioni aziendali, è necessario che le complessità vengano rese il più possibile comprensibili al management, in quanto da tale comprensione (o incomprensione) derivano le scelte.
Da ultimo, ricordiamo come la nomina del DPO non solleva mai le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono sempre assunte dal Titolare del Trattamento dei Dati Personali. Come precisato dal Gruppo dei Garanti europei, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.
La responsabilità della azienda – come abbiamo visto da vari provvedimenti delle Autorità di Controllo europee – si estende anche alle nomine del RPD – DPO inadeguate, quando il soggetto scelto non abbia tutte le caratteristiche necessarie per rivestire efficacemente quel ruolo.