LA GUIDA PRATICA

DPO in pratica: il rapporto con la direzione

Ecco una guida pratica per DPO che spiega come instaurare correttamente un rapporto con i vertici dell’organizzazione, dalla pianificazione delle attività che dovrà svolgere il responsabile della protezione dati fino all’attuazione operativa

27 Lug 2022
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Il rapporto fra DPO (Data Protection Officer o responsabile della protezione dati) e i vertici dell’organizzazione deve trovare una corretta definizione tanto nella pianificazione quanto nell’attuazione operativa, altrimenti c’è il rischio di diminuire sensibilmente l’efficacia della funzione o, ancor peggio, la sua adeguatezza all’interno dell’assetto organizzativo.

Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza

Il rapporto con la direzione

In che modo impostare il rapporto del DPO con la direzione? Volendo iniziare con lo spunto della definizione fornita dalla ISO 9001:2015 relativa al ruolo dell’Alta Direzione, ovverosia il gruppo di persone con l’autorità e la responsabilità di controllare direttamente il sistema di gestione al più alto livello, è evidente l’importanza che la funzione di DPO debba seguire un coordinamento strategico sin dal collocamento iniziale e nella fase di operatività.

WHITEPAPER
Basta previsioni incerte: OTTIMIZZA la gestione finanziaria per accelerare la CRESCITA
Finanza/Assicurazioni
Sicurezza dei dati

Nel momento in cui viene designato un responsabile della protezione dei dati, un primo passaggio fondamentale consiste proprio nello stabilire i rapporti con la direzione in modo chiaro, univoco e funzionale. L’obiettivo è l’efficace attuazione dei compiti di sorveglianza, consulenza e informazione previsti dal GDPR e deve essere il criterio di orientamento per definire le modalità di contatto fra DPO e direzione.

Volendo porre attenzione alla disciplina che regola la posizione del DPO, l’esigenza di contatto con la direzione del titolare del trattamento o del responsabile del trattamento viene richiamata in modo specifico all’interno dell’art. 38 parr. 2 e 3 GDPR.

Infatti, nel prevedere che il responsabile della protezione dei dati ha il diritto di ricevere le risorse necessarie e il sostegno dell’organizzazione[1], di riferire direttamente al vertice gerarchico[2] e di non dover subire alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti[3], la norma intende precisare una serie di obblighi (più precisamente: di garanzie da assicurare) in capo al soggetto che ha provveduto alla designazione.

Ad una lettura più attenta sul piano operativo, si riscontra anche il tracciato delle coordinate fondamentali di quel rapporto che deve intercorrere fra DPO e senior management.

Ad esempio, è di chiara evidenza che non sia possibile prescindere dalla definizione dei flussi informativi e individuare quali soggetti debbano essere destinatari di quel “riferire direttamente” che è richiamato dal dettato normativo.

Sebbene nell’agenda del DPO debbano essere presenti i contatti di tutti i membri dell’Alta Direzione, ivi incluso anche quello del legale rappresentante, è possibile che vi sia una designazione di uno o più interlocutori per le comunicazioni relative a tutte le questioni riguardanti la protezione dei dati personali in quanto delegati a tali compiti dai vertici direzionali e dotati di poteri decisionali a riguardo.

Quanto deve in ogni caso deve essere garantito è l’adeguato coinvolgimento del DPO, la dovuta considerazione del suo parere e il supporto attivo alla funzione [4].

Ciò richiede, di conseguenza, che le comunicazioni provenienti dal DPO o dal suo staff trovino riscontri adeguati. In caso di inerzia, il DPO può comunque riportare tali evenienze andando direttamente a comunicare i vertici direzionali.

Una buona prassi in tale ambito è rappresentata dalla redazione di una relazione periodica di attività a cura del DPO e sottoposta all’attenzione della direzione, in modo tale da fornire una sintesi della funzione svolta di informazione, consulenza e monitoraggio e rendere inevitabile la conoscenza di tutte le questioni relative alla protezione dei dati affrontate.

Andando invece ad approfondire l’obbligo dell’organizzazione di garantire le risorse necessarie per lo svolgimento della funzione di DPO, è bene che questi rappresenti anticipatamente le esigenze dell’ufficio con la predisposizione di un piano di spesa e una richiesta di budget (solitamente annuale).

È opportuno precisare, però, che la mancata approvazione da parte della direzione dei desiderata del DPO non rappresenta un ostacolo alla funzione purché sia adeguatamente motivata.

Per quanto riguarda invece la garanzia da parte del titolare o del responsabile di astensione dal fornire istruzioni per l’esecuzione dei compiti del DPO, il presupposto logico deriva da una chiara definizione delle declinazioni operative della funzione.

Facendo riferire i compiti di cui all’art. 39 GDPR al contesto organizzativo e dettagliandoli già in sede di predisposizione dell’offerta di servizi o anche all’atto della designazione è possibile fornire alla direzione una consapevolezza circa il perimetro di attività per cui deve essere assicurata l’indipendenza ed autonomia funzionale.

La condivisione del piano di monitoraggio e controllo

Sebbene lo svolgimento dei compiti di sorveglianza[5] del DPO non richieda alcuna autorizzazione da parte dell’organizzazione proprio in ossequio alle richiamate garanzie di indipendenza e autonomia, la condivisione di un piano di monitoraggio e controllo con la direzione ha l’effetto di migliorarne l’attuazione operativa in relazione ai profili di efficienza, profondità ed ampiezza di intervento.

Ad esempio, la possibilità di individuare in modo puntuale quali soggetti coinvolgere, le risorse necessarie e la calendarizzazione dei controlli consente di redigere un programma di audit quanto più possibile completo ed efficace[6].

Non solo: tale condivisione consente anche di poter precisare alcuni elementi del piano grazie ai riscontri forniti dalla direzione, andando ad individuare potenziali ostacoli, fabbisogni o specificando gli ambiti dell’organizzazione su cui intervenire.

A titolo di esempio, un piano di monitoraggio che il DPO può condividere con la direzione dovrà contenere:

  1. l’indicazione di una data di inizio e di chiusura dell’attività;
  2. l’indicazione degli obiettivi, dei criteri e delle attività di trattamento rilevanti;
  3. un elenco della documentazione da acquisire;
  4. gli ambiti dell’organizzazione coinvolti;
  5. l’elenco dei soggetti interni o esterni da intervistare;
  6. una proposta di calendarizzazione degli interventi;
  7. l’eventuale preventivo per il ricorso a risorse esterne;

in modo tale da consentire un coordinamento utile per l’attuazione operativa.

L’autorità per svolgere i controlli di conformità dell’organizzazione deriva direttamente dalla disciplina in materia di protezione dei dati personali e appartiene naturalmente alla funzione del DPO, ma nella prassi il coinvolgimento iniziale di un membro della direzione può agevolare la conduzione di un’attività di audit.

A partire dalla riunione di apertura e nelle successive interviste necessarie, una facilitazione della raccolta delle evidenze necessarie a comprovare[7] la conformità normativa delle attività svolte sui dati personali non è un elemento da sottovalutare soprattutto al fine di contenere il rischio di ottenere esiti incompleti o inesatti.

Inoltre, dal momento che il rapporto diretto con il vertice gerarchico deve essere inteso come una garanzia affinché le indicazioni e le raccomandazioni del DPO siano note all’organizzazione, la condivisione del piano di controlli ha anche una funzione strumentale in tal senso ed è un’azione utile per aumentare l’attenzione della direzione nei confronti dell’attività di sorveglianza e costituisce un’occasione – o al più uno stimolo – per formulare delle richieste di informazioni e consulenza.

L’attività di consulenza e informazione

Nell’esperienza comune, il contatto maggiormente frequente del DPO con la direzione è realizzato nel tempo attraverso l’attività di consulenza e informazione[8], che può coinvolgere anche soggetti non apicali ma che in ogni caso deve essere portata a conoscenza dei vertici organizzativi.

Meno sistematiche ma comunque rilevanti sono anche le attività consulenziali svolte nell’ambito della valutazione di impatto[9] e in funzione di punto di contatto e di cooperazione con l’autorità di controllo per agire come facilitatore per l’accesso a documenti ed informazioni in caso di richieste di chiarimenti o ispezioni.

Nello svolgimento dei propri compiti consulenziali l’azione del DPO può avvenire o su iniziativa spontanea o altrimenti in reazione a richieste di chiarimento, pareri, quesiti o altrimenti ad un intervento dell’autorità di controllo.

La garanzia di coinvolgimento prevista dall’art. 38 par. 1 GDPR comporta la definizione di un flusso informativo da/verso il DPO, mentre una rendicontazione periodica di attività con richiamo delle questioni sottoposte all’attenzione della funzione è un utile elemento per fornire evidenza della continuità di azione.

Non è infrequente che già dal momento della selezione, o altrimenti in sede di prima riunione con la direzione, si vadano a definire alcuni tempi di risposta anche differenziando le ipotesi (ad es. parere su opportunità di valutazione di impatto, data breach, richiesta di esercizio dei diritti da parte dell’interessato).

Tale indicazione non compromette alcuna autonomia funzionale bensì al contrario è un criterio di selezione e garantisce l’efficace svolgimento dei compiti stabilendo anche alcuni requisiti di tempestività.

Ovviamente, nell’ipotesi di questioni particolarmente complesse è sempre possibile per il DPO indicare l’esigenza di un termine maggiore per rilasciare un parere o un’opinione relativa ad una determinata vicenda.

Reporting e correttivi

L’attività di reporting del DPO è inevitabilmente connaturata con lo svolgimento dei compiti assegnati dal GDPR e in alcuni casi può contenere l’indicazione di correttivi da apportare.

Qualora non siano indicate modalità univoche di risoluzione delle non conformità rilevate, è comunque opportuno che vengano forniti spunti, indicazioni ed informazioni circa la portata degli obblighi individuati e l’indicazione delle modalità – pur alternative – in cui è possibile adempiere agli stessi.

In tale ambito più che in ogni altro il parere del DPO deve incontrare quella dovuta considerazione da parte della direzione già richiamata, con un supporto attivo e adeguato qualora ne siano condivise le osservazioni o i rilievi.

Nel caso in cui, invece, la direzione opti per una differente strategia o vi sia un disaccordo, dalla riunione o dallo scambio di informazioni è buona prassi che emergano le motivazioni che hanno portato a scelte difformi rispetto alle raccomandazioni ricevute.

Il riscontro dei correttivi apportati nonché della loro efficacia ed efficienza è un’attività che il DPO deve rendicontare nei confronti della direzione in sede di relazione periodica di attività o altrimenti con la presentazione dei risultati di un audit successivo.

In ogni caso, nel rapportarsi con la direzione o con il referente indicato su tali interventi – tanto nella fase di progettazione che di attuazione – è bene ricordare che il potere decisionale appartiene comunque ai vertici dell’organizzazione e altrimenti non potrebbe essere in ossequio alla garanzia di assicurare che i compiti e funzioni del DPO non diano adito ad alcun conflitto di interessi[10].

 

NOTE

  1. “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.” (art. 38 par. 2 GDPR).

  2. “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.” (art. 38 par. 3 GDPR).

  3. “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.” (art. 38 par. 3 GDPR).

  4. Come espressamente indicato da WP243 – Linee guida per i responsabili della protezione dei dati.

  5. art. 39 par. 1 lett. b) GDPR.

  6. Come previsto dalla norma ISO 19011:2018.

  7. Come richiesto dall’art.24 GDPR.

  8. art. 39 par. 1 lett. a) GDPR.

  9. “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;” (art. 39 par. 1 lett. c) GDPR).

  10. art. 38 par. 6 GDPR.

WHITEPAPER
Digitalizzazione delle PMI: i 7 cambiamenti da affrontare per diventare un’impresa data-driven
Big Data
Business Analytics
@RIPRODUZIONE RISERVATA

Articolo 1 di 5