L'approfondimento

DPO in azienda: di cosa si occupa e perché serve un team di supporto

Alla luce del GDPR, per le aziende si presenta la necessità di un gruppo di lavoro che si occupi del sistema privacy. Un team in sostegno della figura del DPO, professionista qualificato che deve avere competenze multidisciplinari, da quelle legali alle tecniche

06 Ago 2019
B
Elisa Balboni

Data Governance and Information Security Consultant

Più volte si è discusso della figura del Data Protection Officer (di seguito DPO), introdotta dal GDPR (Regolamento UE 2016/679) nell’ambito aziendale: diverse interpretazioni sono nate per questa nuova, ma ormai familiare, figura.

Come per ogni nuova figura professionale, inizialmente vi sono stati assestamenti su quelle che potevano essere le funzioni e gli ambiti delle mansioni del DPO, tralasciando tuttavia quello che la norma chiaramente postulava.

Alla luce della normativa, si rende sempre più necessario strutturare un team a supporto di questa figura.

Le competenze del DPO in azienda

Il DPO è una figura di controllo, svolge un compito di vigilanza e consulenza sull’operato del titolare del trattamento e, in caso di necessità e/o di ispezioni da parte del Garante, collabora e funge da punto di riferimento per quest’ultimo.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il DPO deve avere competenze multidisciplinari, tra le quali, ad esempio, quelle legali, tecnico organizzative e informatiche e ovviamente deve conoscere le normative giuridiche specifiche in tema privacy.

Può essere un dipendente del titolare del trattamento, purché sia preservata e garantita la necessaria autonomia e che venga applicato il principio di imparzialità per il ruolo che deve svolgere.

Occorrerà inoltre porre attenzione in merito ad eventuali o potenziali conflitti di interesse. In considerazione delle criticità che tipicamente emergono nei contesti aziendali, pertanto, spesso può risultare efficace optare per la nomina di un professionista esterno che dia maggiori garanzie di imparzialità, autonomia e indipendenza.

La necessità di un team di supporto al DPO

In ogni caso, sia con nomina interna sia con nomina esterna, nasce sicuramente all’interno delle aziende la necessità di strutturare un team preposto alla gestione del sistema privacy, poiché con l’avvento del GDPR anche questa normativa diventa un vero e proprio sistema di gestione all’interno dell’azienda.

Vi sarà la necessità di avere punti di riferimento e un organigramma privacy strutturato con le funzioni che trattano dati personali e particolari in azienda.

Tipicamente, quindi, si riscontreranno gli interventi della funzione HR, della funzione legal, di quella safety e della funzione IT; ma rimangono importanti in questo team, secondo le caratteristiche specifiche ed il contesto aziendale, anche le funzioni marketing, quality e finance.

Sarà opportuno schedulare eventuali staff meeting per procedere con una pianificazione cadenzata, la condivisione di progetti e di obiettivi e, punto estremamente importante, una netta suddivisione dei ruoli e dei compiti all’interno del team proposto alla gestione della privacy.

Il coinvolgimento dell’organismo di vigilanza

Dopo aver fatto cenno, da un lato, a come il GDPR abbia impattato sul sistema di gestione all’interno delle aziende in ambito privacy e, dall’altro lato, alla necessità di integrazione con le funzioni aziendali, merita una riflessione anche l’opportunità di interazione e coinvolgimento dell’organismo di vigilanza, nelle aziende in cui sia stato adottato un sistema 231.

Bisognerà introdurre procedure per la gestione dei punti di contatto nel caso in cui ci siano necessità in ambito privacy.

Si potrebbe impostare il lavoro identificando la funzione legale come referente del sistema di gestione privacy (team leader), che gestirà i processi inerenti ai diritti degli interessati, ad eventuali possibili data breach e a tutte le nuove esigenze che ogni funzione aziendale potrebbe riscontrare nell’ambito dello svolgimento delle proprie mansioni.

Inoltre, la stessa funzione legale, diventerà punto di contatto e riferimento interno per il DPO, al quale riferirà regolarmente sugli accadimenti aziendali rilevanti per il relativo ambito. Infine, tale opzione organizzativa permette di avere in azienda una figura più “operativa”, costante e presente, che sappia quindi coadiuvare il DPO nel caso in cui vi siano richieste o visite da parte di enti ispettivi.

L’organizzazione in team garantisce la creazione di un sistema di competenze complementari valorizzando maggiormente il processo di accountability aziendale, procedurizzando e documentando i ruoli e le mansioni di ogni servizio in ambito privacy.

Banalmente si potrebbe pensare ad un sistema di gestione in cui la formazione sarà in capo alla funzione HR, la salvaguardia dell’integrità, disponibilità e riservatezza dei dati informatici in capo alla funzione IT, audit interni per verificare la corretta gestione del sistema e la creazione della documentazione integrata con eventuali certificazioni/ISO già esistenti potrebbero essere svolti dalla funzione QA.

La creazione di un sistema di gestione

Ci sono molteplici scenari e molteplici sviluppi che possono risultare dopo un’intervista iniziale sulle funzioni e sui servizi svolti dalle singole aree aziendali.

Sarà necessario creare un sistema di gestione, non solo a lato documentale/legale, ma che possa corrispondere ad un sistema di gestione SGSI (Sistema di Gestione della Sicurezza delle Informazioni) che protegga il dato personale in ambito di riservatezza, integrità e disponibilità e che allo stesso tempo possa portare maggiore ordine nella gestione dei ruoli e delle competenze in ambito aziendale.

Ci si aspetterà quindi di trovare procedure per la gestione dei trattamenti principali in azienda, come ad esempio una procedura d’ingresso del nuovo dipendente, che comprenderà sia i documenti che dovranno essere consegnati al nuovo arrivato, gli eventi formativi a cui dovrà partecipare, eventuali test di formazione per formalizzare la reale efficacia dei corsi, incarichi e regolamenti riconsegnati controfirmati e tutto ciò che sarà necessario per questo trattamento.

Non meno importante sarà la presenza di una procedura per la gestione dei diritti degli interessati, in cui verrà specificato il contatto principale per la raccolta dei dati e in base alla richiesta verranno allertati e coordinati i servizi che gestiscono il trattamento che opera sui dati di cui è stata fatta richiesta.

Nel caso in cui fosse necessaria l’adozione di specifiche policy in ambito IT per la gestione dei dati, avendo un team di lavoro coeso, sarà più semplice reperire tutte le informazioni necessarie minimizzando i tempi di risposta.

L’importanza del team serve inoltre per mettere in luce eventuali trattamenti “latenti”, non sempre gestiti o ancor peggio non censiti. Serve per far maturare l’attenzione verso le tematiche sulla protezione dei dati e per aumentare il concetto dell’accountability, così forte e importante per la corretta gestione di questa normativa.

Serve inoltre a riportare il lavoro del DPO a quello richiesto dalla norma, ovvero di coordinatore e di vigilante. Potrebbe essere utile avere inoltre un consulente esterno che abbia competenze specifiche sulla gestione della sicurezza delle informazioni, sui sistemi di gestione, in ambito privacy e cyber security.

Questo darà un plus allo sforzo di adeguamento GDPR e introdurrà una gestione sistematica di tutti i dati all’interno dell’azienda, siano questi dati personali o dati business.

Conclusione

La figura del DPO deve appunto essere una figura di coordinamento, di riferimento e di aiuto nel caso in cui si debba intraprendere scelte di progettazione di un nuovo trattamento, valutarne eventualmente i rischi, o in caso ad esempio di attacco informatico non ci sia la certezza di violazione dei dati e non si sappia quindi quali strade intraprendere.

Bisognerà tener conto anche della necessità, per il DPO, di poter svolgere il proprio compito privo di conflitti d’interesse o di vincoli che possano, accidentalmente, minare l’autonomia del DPO stesso.

Questo lavoro di team facilita le comunicazioni, aiuta il titolare e il DPO nella corretta gestione dei dati all’interno dell’azienda ed è già di per sé un’ottima presentazione nel caso in cui sorga la necessità di essere valutati da enti esterni per la conformità in ambito GDPR all’interno dell’azienda.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr