La guida

Privacy Officer e DPO, ecco tutti i loro compiti in azienda

I professionisti della data protection, in particolare le sempre più diffuse figure di DPO e Privacy Officer, svolgono numerosi ruoli e funzioni a seconda del contesto aziendale in cui operano. Vediamo cosa prevede la normativa al riguardo e quali sono gli incarichi pratici cui sono chiamati ad adempiere

01 Ott 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

N
Alessia Nucara

Privacy Officer & Consulente Legale Privacy

I profili professionali che operano nell’ambito della protezione dei dati personali, in particolare Privacy Officer e DPO che si stanno imponendo sempre di più, possono assumere differenti ruoli e funzioni a seconda del contesto organizzativo presso cui svolgono i propri compiti.

Le attività da svolgere sono di natura trasversale rispetto ai processi aziendali, sia con riferimento al ciclo di vita del dato che rispetto alle vicende organizzative, tecnologiche e legali collegate con l’attività svolta da parte dell’organizzazione.

I professionisti della privacy possono così dirigere la propria azione nei confronti di persone fisiche o giuridiche, enti, istituzioni, associazioni, soggetti pubblici o privati, siano essi titolari o responsabili del trattamento, ed il loro apporto assume un ruolo fondamentale per la gestione e la verifica dei sistemi informativi.

Privacy Officer e DPO: i requisiti

Il requisito essenziale che accomuna tali figure è una conoscenza delle logiche fondamentali legate all’organizzazione e ai suoi processi, nonché ulteriori conoscenze e competenze in ambito legale, informatico e gestionale.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Le prime garantiscono una corretta applicazione della normativa individuando gli adempimenti da svolgere, le seconde consentono di interagire correttamente con i fornitori ed i referenti IT per la verifica delle attività di trattamento svolte tramite sistemi informatici, mentre le terze sono fondamentali per lo svolgimento delle attività di audit e di strutturazione delle procedure.

Ad oggi, come anticipato, le due figure maggiormente diffuse sono il Privacy Officer e il Data Protection Officer (DPO). Sebbene tali figure siano spesso confuse, assumono ruoli e compiti ben differenti.

Il Privacy Officer ha un ruolo marcatamente gestionale e coopera con tutti i reparti aziendali (Legal, IT, Marketing, Management ecc.) al fine di adeguare l’organizzazione al GDPR e a garantirne la conformità nel tempo.

Il DPO, invece, interagisce con tutti i comparti aziendali al fine di sorvegliare il rispetto del GDPR da parte dell’organizzazione del titolare o del responsabile del trattamento. In forza del principio di accountability, si ricorda, è preciso obbligo del titolare del trattamento garantire e dimostrare il corretto coinvolgimento dei professionisti della privacy all’interno del proprio assetto organizzativo.

Cosa fa il Privacy officer

La figura del Privacy Officer nasce negli USA per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.

Compare per la prima volta negli ordinamenti giuridici in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). È una figura di consulenza strategica, il cui compito è quello di osservare, valutare e organizzare la gestione del trattamento dei dati personali all’interno di un’organizzazione, affinché gli stessi siano trattati nel rispetto delle normative vigenti.

Può essere un dipendente o un collaboratore esterno all’organizzazione, ma deve necessariamente interfacciarsi con i vertici aziendali per definire un piano strategico mirato ad accompagnare l’organizzazione al raggiungimento e al mantenimento della compliance.

Per fare ciò, il Privacy Officer deve necessariamente interfacciarsi con tutte le funzioni presenti in azienda (risorse umane, management, ufficio giuridico, IT, sicurezza, marketing ecc.) rilevando fabbisogni e rischi per garantire un processo di adeguamento continuo ed efficace.

Il ruolo per l’organizzazione

Il primo passo di ogni Privacy Officer per l’organizzazione è costituito da un “assessment”, fase preliminare della procedura di adeguamento al GDPR.

Questa attività restituisce una fotografia del livello di maturità dell’organizzazione in ottica GDPR in un dato momento (as is) e mette in luce tutte le lacune da colmare per garantire la conformità normativa (c.d. gap analysis).

L’assessment consente al Privacy Officer di supportare l’organizzazione nel creare un piano di adeguamento al GDPR che contempli aspetti legali, gestionali e tecnologici.

Una volta definito il ciclo di vita del dato personale, che tenga conto quanto meno delle modalità di impiego dei dati, delle finalità per cui sono utilizzati, delle tecnologie impiegate e dei vari soggetti coinvolti nel trattamento, l’analisi investe le principali fonti di rischio.

Fra questi possiamo trovare ad esempio i comportamenti del personale interno all’azienda, gli eventi che possono colpire gli strumenti e le tecnologie utilizzate nelle attività di trattamento (quali virus informatici, guasti, furti di apparati IT ecc.), nonché accessi non autorizzati, o interventi di modifica, alterazione, perdita o diffusione dei dati personali.

Lo svolgimento dell’analisi dei rischi è un’attività deputata ad individuare le priorità di compliance che accompagna l’attuazione di un piano di remediation per l’organizzazione.

Quando sono stati mappati ed implementati i processi organizzativi necessari a gestire le attività svolte sui dati personali da parte dell’organizzazione, il Privacy Officer tipicamente svolge i seguenti compiti:

  • monitoraggio e aggiornamento di politiche, procedure e regolamenti, assicurandosi che siano sempre in linea con le attività di trattamento effettuate;
  • monitoraggio, documentazione ed assistenza per il Titolare del trattamento nel valutare e registrare eventuali data breach per la notifica alle Autorità competenti e, se necessario, la comunicazione agli interessati;
  • formazione, aggiornamento e sensibilizzazione del personale dipendente circa gli adempimenti derivanti dalla normativa in materia di trattamento dei dati personali e i principali rischi inerenti sui trattamenti svolti;
  • supporto e consulenza ai referenti individuati in ogni reparto per qualsiasi questione relativa alla normativa in materia di protezione dei dati personali;
  • attività periodica di audit sul sistema di gestione degli adempimenti.

Chi è il Data Protection Officer

Il Responsabile della protezione dati (RPD), o Data Protection Officer (DPO), è una figura prevista dal GDPR la cui designazione è obbligatoria per alcuni titolari e responsabili del trattamento, quali le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dalle attività di trattamento svolte, nonché tutti i soggetti (enti e imprese) che, come attività principale, trattino categorie particolari di dati oppure effettuino un monitoraggio regolare e sistematico su larga scala delle persone fisiche.

Tuttavia, anche laddove il Regolamento non imponga la designazione di un DPO, tale funzione può comunque essere designata su base volontaria.

Per quanto concerne le competenze, è richiesta espressamente un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali.

Il livello necessario di conoscenza specialistica deve essere determinato in base ai trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e alle misure di protezione richieste.

All’atto pratico, ciò significa che laddove, ad esempio, il titolare del trattamento sia una compagnia assicurativa, sarà preferibile la nomina di un DPO che abbia conoscenza della normativa e delle prassi di gestione dei dati nel settore assicurativo. Inoltre, è richiesto che il posizionamento del DPO gli consenta di svolgere la propria funzione in piena indipendenza e in assenza di conflitti di interesse.

Il ruolo del DPO in azienda

L’art. 39 prevede in capo al DPO una funzione di sorveglianza, finalizzata ad assistere il titolare del trattamento o il responsabile del trattamento nel controllo del rispetto del Regolamento.

Per fare ciò, il DPO raccoglie le informazioni per individuare i trattamenti svolti, analizza e verifica i trattamenti in termini di loro conformità, svolge attività di informazione, consulenza (nella forma della c.d. second opinion) e indirizzo nei confronti del titolare o del responsabile e dei dipendenti coinvolti nelle operazioni di trattamento in merito agli obblighi derivanti dal Regolamento e dalle normative applicabili in materia di protezione dei dati personali.

Su richiesta, fornisce inoltre al titolare del trattamento un parere in merito alla valutazione d’impatto sulla protezione dei dati e, ove necessario, ne sorveglia lo svolgimento.

Da ultimo, il DPO funge da punto di contatto con l’autorità Garante e con i soggetti da questa preposti per funzioni connesse al trattamento.

In sostanza, il DPO coopera con le autorità di controllo giovando così all’organizzazione per il rispetto dell’obbligo di collaborazione di cui all’art. 31 GDPR, facilitando l’accesso ai documenti e alle informazioni necessarie durante l’espletamento dei poteri di indagine, correttivi, autorizzativi e consultivi.

È fondamentale, inoltre, che il titolare del trattamento e il responsabile del trattamento si assicurino che il DPO venga tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e gli forniscano le risorse umane, tecnologiche e finanziarie necessarie all’adempimento dei propri compiti (quali, ad esempio: sede, attrezzature, strumentazione, tempo sufficiente per l’espletamento dei compiti affidategli).

In linea di principio, dunque, quanto più complessi o sensibili sono i trattamenti effettuati dall’organizzazione, tanto maggiori dovranno essere le risorse messe a disposizione del DPO.

Anche il DPO, come il Privacy Officer, può operare come dipendente, o sulla base di un contratto di servizi, ma a differenza di questi è necessario che svolga i compiti e funzioni in maniera del tutto indipendente.

Ciò significa che il DPO non deve ricevere istruzioni sull’esecuzione di un compito specifico, sui risultati attesi, sulle modalità di accertamento circa un reclamo, o sulla valutazione di consultare o meno l’autorità di controllo, né trovarsi in posizioni di potenziale conflitto di interesse per cui può avere un ruolo nel determinare mezzi o finalità del trattamento né aver predisposto il sistema di gestione degli adempimenti.

Conclusioni

Considerate le peculiarità delle figure rappresentate, il modello di gestione dei dati personali ideale per le organizzazioni mature e strutturate contempla un’azione di entrambe le figure.

I rispettivi uffici devono ovviamente essere distinti, al fine di garantire la posizione del DPO e la sua azione di sorveglianza che dovrà riguardare anche gli eventuali flussi dati che coinvolgono il Privacy Officer.

È bene infine ricordare che è proprio la second opinion di consulenza prestata dal DPO sulle scelte dell’organizzazione in materia di protezione dei dati personali a richiamare l’esigenza di una sinergia operativa con un’altra funzione di compliance presso l’organizzazione.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr