Il punto di vista di Cyber Academy
Il DPO è il ruolo previsto dal GDPR che monitora la conformità, consiglia il titolare del trattamento e funge da punto di contatto con l'autorità di controllo. Obbligatorio per le autorità pubbliche e per i trattamenti che richiedono un monitoraggio sistematico su larga scala o dati di categoria speciale. Indipendenza e accesso al management sono i due elementi che gli auditor verificano concretamente.
A cosa serve il ruolo
Il Data Protection Officer è la persona che un'organizzazione nomina per mantenere corretto il proprio trattamento dei dati personali ai sensi del GDPR. Il compito non è gestire progetti sulla privacy né approvare la conformità, ma verificare se l'organizzazione fa ciò che la legge e le sue stesse policy richiedono, fornire consulenza al titolare e al responsabile del trattamento, formare e sensibilizzare, ed essere il punto di contatto unico per l'autorità di controllo e per gli interessati che intendono esercitare i propri diritti. Il DPO informa e fornisce consulenza, ma la responsabilità del trattamento resta in capo al titolare.
Un DPO è obbligatorio in tre situazioni: quando il trattamento è effettuato da un'autorità pubblica, quando le attività principali richiedono un monitoraggio regolare e sistematico delle persone su larga scala, e quando le attività principali comportano il trattamento su larga scala di categorie particolari di dati come dati sanitari, biometrici o relativi a condanne penali. Le organizzazioni che non rientrano in questi presupposti possono comunque nominare un DPO su base volontaria, e molte lo fanno perché offre loro un referente interno chiaro per le questioni relative alla privacy.
Indipendenza e accesso, i due aspetti che gli auditor verificano
Quando un regolatore o un auditor interno esamina la funzione del DPO, due aspetti decidono se sia reale o di facciata. Il primo è l'indipendenza. Il DPO non deve ricevere istruzioni sul modo di svolgere i propri compiti, non può essere rimosso o penalizzato per aver svolto correttamente il proprio lavoro e non deve essere posto in una posizione in cui controlli le proprie decisioni. Per questo un DPO di norma non dovrebbe essere anche il CISO, il responsabile IT o il responsabile marketing, perché tali ruoli definiscono le finalità e i mezzi del trattamento che il DPO deve esaminare. Il secondo è l'accesso. Il DPO deve riferire al più alto livello dirigenziale ed essere coinvolto, tempestivamente e in modo adeguato, in tutte le questioni relative alla protezione dei dati personali.
- Verifica la conformità al GDPR e alle policy interne di protezione dei dati.
- Fornisce consulenza sulle valutazioni d'impatto sulla protezione dei dati (DPIA) e contribuisce a riesaminarle.
- Coopera con l'autorità di controllo e ne è il punto di contatto.
- Gestisce la comunicazione con gli interessati in merito ai loro diritti.
Come il DPO si rapporta ai concetti affini
Il DPO è una persona e un dovere, non un framework di controllo. Il GDPR è il regolamento che istituisce il ruolo e ne fissa i compiti. La DPIA è uno degli strumenti su cui il DPO fornisce consulenza, una valutazione strutturata svolta prima dell'avvio di un trattamento ad alto rischio. ISO 27701 è lo standard di gestione delle informazioni sulla privacy rispetto al quale un'organizzazione può certificarsi, e una funzione di DPO ben gestita si allinea naturalmente ai suoi requisiti pur non coincidendo con essa.
La CDPSE è una certificazione professionale che attesta che un ingegnere della privacy o un DPO sa integrare la privacy nei sistemi. Un DPO può essere un dipendente o un fornitore di servizi esterno, e un gruppo di imprese può nominare un unico DPO purché tale persona resti raggiungibile da ciascuno stabilimento e conservi indipendenza e risorse sufficienti a coprirli tutti.
Frequently asked questions
01Un DPO è obbligatorio per ogni azienda?
No. Il GDPR ne richiede uno per le autorità pubbliche, per le organizzazioni le cui attività principali comportano un monitoraggio regolare e sistematico delle persone su larga scala, e per quelle le cui attività principali comportano il trattamento su larga scala di dati di categoria particolare o relativi a condanne penali. Le altre organizzazioni possono nominarne uno su base volontaria.
02Il CISO o il responsabile IT possono essere anche il DPO?
Di norma no. Tali ruoli decidono le finalità e i mezzi del trattamento, quindi combinarli con quello di DPO crea un conflitto di interessi, perché la persona finirebbe per sorvegliare le proprie decisioni. Il DPO deve mantenere l'indipendenza dalle scelte operative di trattamento dei dati.
03Il DPO può essere esternalizzato?
Sì. Il DPO può essere un membro del personale o svolgere i compiti nell'ambito di un contratto di servizi. In entrambi i casi si applicano gli stessi requisiti di indipendenza, accesso e reperibilità, e l'organizzazione deve pubblicare i dati di contatto del DPO e comunicarli all'autorità di controllo.
04Il DPO è personalmente responsabile delle violazioni?
No. La responsabilità del trattamento resta in capo al titolare e al responsabile del trattamento. Il DPO fornisce consulenza e verifica, ma non assume alcuna responsabilità giuridica personale per la decisione dell'organizzazione di ignorare tale consulenza.
05Un unico DPO può coprire un intero gruppo di aziende?
Sì, un unico DPO può servire un gruppo di imprese, a condizione che resti facilmente accessibile da ciascuno stabilimento e disponga di indipendenza, risorse e tempo sufficienti a sorvegliare tutti i trattamenti interessati.