La guida

Privacy Officer e DPO, ecco tutti i loro compiti in azienda

I professionisti della data protection, in particolare le sempre più diffuse figure di DPO e Privacy Officer, svolgono numerosi ruoli e funzioni a seconda del contesto aziendale in cui operano. Vediamo cosa prevede la normativa al riguardo e quali sono gli incarichi pratici cui sono chiamati ad adempiere

01 Ott 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

N
Alessia Nucara

Privacy Officer & Consulente Legale Privacy


I profili professionali che operano nell’ambito della protezione dei dati personali, in particolare Privacy Officer e DPO che si stanno imponendo sempre di più, possono assumere differenti ruoli e funzioni a seconda del contesto organizzativo presso cui svolgono i propri compiti.

Le attività da svolgere sono di natura trasversale rispetto ai processi aziendali, sia con riferimento al ciclo di vita del dato che rispetto alle vicende organizzative, tecnologiche e legali collegate con l’attività svolta da parte dell’organizzazione.

I professionisti della privacy possono così dirigere la propria azione nei confronti di persone fisiche o giuridiche, enti, istituzioni, associazioni, soggetti pubblici o privati, siano essi titolari o responsabili del trattamento, ed il loro apporto assume un ruolo fondamentale per la gestione e la verifica dei sistemi informativi.

Privacy Officer e DPO: i requisiti

Il requisito essenziale che accomuna tali figure è una conoscenza delle logiche fondamentali legate all’organizzazione e ai suoi processi, nonché ulteriori conoscenze e competenze in ambito legale, informatico e gestionale.

Le prime garantiscono una corretta applicazione della normativa individuando gli adempimenti da svolgere, le seconde consentono di interagire correttamente con i fornitori ed i referenti IT per la verifica delle attività di trattamento svolte tramite sistemi informatici, mentre le terze sono fondamentali per lo svolgimento delle attività di audit e di strutturazione delle procedure.

Ad oggi, come anticipato, le due figure maggiormente diffuse sono il Privacy Officer e il Data Protection Officer (DPO). Sebbene tali figure siano spesso confuse, assumono ruoli e compiti ben differenti.

Il Privacy Officer ha un ruolo marcatamente gestionale e coopera con tutti i reparti aziendali (Legal, IT, Marketing, Management ecc.) al fine di adeguare l’organizzazione al GDPR e a garantirne la conformità nel tempo.

Il DPO, invece, interagisce con tutti i comparti aziendali al fine di sorvegliare il rispetto del GDPR da parte dell’organizzazione del titolare o del responsabile del trattamento. In forza del principio di accountability, si ricorda, è preciso obbligo del titolare del trattamento garantire e dimostrare il corretto coinvolgimento dei professionisti della privacy all’interno del proprio assetto organizzativo.

Cosa fa il Privacy officer

La figura del Privacy Officer nasce negli USA per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.

Compare per la prima volta negli ordinamenti giuridici in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). È una figura di consulenza strategica, il cui compito è quello di osservare, valutare e organizzare la gestione del trattamento dei dati personali all’interno di un’organizzazione, affinché gli stessi siano trattati nel rispetto delle normative vigenti.

Può essere un dipendente o un collaboratore esterno all’organizzazione, ma deve necessariamente interfacciarsi con i vertici aziendali per definire un piano strategico mirato ad accompagnare l’organizzazione al raggiungimento e al mantenimento della compliance.

Per fare ciò, il Privacy Officer deve necessariamente interfacciarsi con tutte le funzioni presenti in azienda (risorse umane, management, ufficio giuridico, IT, sicurezza, marketing ecc.) rilevando fabbisogni e rischi per garantire un processo di adeguamento continuo ed efficace.

Il ruolo per l’organizzazione

Il primo passo di ogni Privacy Officer per l’organizzazione è costituito da un “assessment”, fase preliminare della procedura di adeguamento al GDPR.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Questa attività restituisce una fotografia del livello di maturità dell’organizzazione in ottica GDPR in un dato momento (as is) e mette in luce tutte le lacune da colmare per garantire la conformità normativa (c.d. gap analysis).

L’assessment consente al Privacy Officer di supportare l’organizzazione nel creare un piano di adeguamento al GDPR che contempli aspetti legali, gestionali e tecnologici.

Una volta definito il ciclo di vita del dato personale, che tenga conto quanto meno delle modalità di impiego dei dati, delle finalità per cui sono utilizzati, delle tecnologie impiegate e dei vari soggetti coinvolti nel trattamento, l’analisi investe le principali fonti di rischio.

Fra questi possiamo trovare ad esempio i comportamenti del personale interno all’azienda, gli eventi che possono colpire gli strumenti e le tecnologie utilizzate nelle attività di trattamento (quali virus informatici, guasti, furti di apparati IT ecc.), nonché accessi non autorizzati, o interventi di modifica, alterazione, perdita o diffusione dei dati personali.

Lo svolgimento dell’analisi dei rischi è un’attività deputata ad individuare le priorità di compliance che accompagna l’attuazione di un piano di remediation per l’organizzazione.

Quando sono stati mappati ed implementati i processi organizzativi necessari a gestire le attività svolte sui dati personali da parte dell’organizzazione, il Privacy Officer tipicamente svolge i seguenti compiti:

  • monitoraggio e aggiornamento di politiche, procedure e regolamenti, assicurandosi che siano sempre in linea con le attività di trattamento effettuate;
  • monitoraggio, documentazione ed assistenza per il Titolare del trattamento nel valutare e registrare eventuali data breach per la notifica alle Autorità competenti e, se necessario, la comunicazione agli interessati;
  • formazione, aggiornamento e sensibilizzazione del personale dipendente circa gli adempimenti derivanti dalla normativa in materia di trattamento dei dati personali e i principali rischi inerenti sui trattamenti svolti;
  • supporto e consulenza ai referenti individuati in ogni reparto per qualsiasi questione relativa alla normativa in materia di protezione dei dati personali;
  • attività periodica di audit sul sistema di gestione degli adempimenti.

Chi è il Data Protection Officer

Il Responsabile della protezione dati (RPD), o Data Protection Officer (DPO), è una figura prevista dal GDPR la cui designazione è obbligatoria per alcuni titolari e responsabili del trattamento, quali le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dalle attività di trattamento svolte, nonché tutti i soggetti (enti e imprese) che, come attività principale, trattino categorie particolari di dati oppure effettuino un monitoraggio regolare e sistematico su larga scala delle persone fisiche.

Tuttavia, anche laddove il Regolamento non imponga la designazione di un DPO, tale funzione può comunque essere designata su base volontaria.

Per quanto concerne le competenze, è richiesta espressamente un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali.

Il livello necessario di conoscenza specialistica deve essere determinato in base ai trattamenti di dati effettuati dal titolare o dal responsabile del trattamento e alle misure di protezione richieste.

All’atto pratico, ciò significa che laddove, ad esempio, il titolare del trattamento sia una compagnia assicurativa, sarà preferibile la nomina di un DPO che abbia conoscenza della normativa e delle prassi di gestione dei dati nel settore assicurativo. Inoltre, è richiesto che il posizionamento del DPO gli consenta di svolgere la propria funzione in piena indipendenza e in assenza di conflitti di interesse.

Il ruolo del DPO in azienda

L’art. 39 prevede in capo al DPO una funzione di sorveglianza, finalizzata ad assistere il titolare del trattamento o il responsabile del trattamento nel controllo del rispetto del Regolamento.

Per fare ciò, il DPO raccoglie le informazioni per individuare i trattamenti svolti, analizza e verifica i trattamenti in termini di loro conformità, svolge attività di informazione, consulenza (nella forma della c.d. second opinion) e indirizzo nei confronti del titolare o del responsabile e dei dipendenti coinvolti nelle operazioni di trattamento in merito agli obblighi derivanti dal Regolamento e dalle normative applicabili in materia di protezione dei dati personali.

Su richiesta, fornisce inoltre al titolare del trattamento un parere in merito alla valutazione d’impatto sulla protezione dei dati e, ove necessario, ne sorveglia lo svolgimento.

Da ultimo, il DPO funge da punto di contatto con l’autorità Garante e con i soggetti da questa preposti per funzioni connesse al trattamento.

In sostanza, il DPO coopera con le autorità di controllo giovando così all’organizzazione per il rispetto dell’obbligo di collaborazione di cui all’art. 31 GDPR, facilitando l’accesso ai documenti e alle informazioni necessarie durante l’espletamento dei poteri di indagine, correttivi, autorizzativi e consultivi.

È fondamentale, inoltre, che il titolare del trattamento e il responsabile del trattamento si assicurino che il DPO venga tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali e gli forniscano le risorse umane, tecnologiche e finanziarie necessarie all’adempimento dei propri compiti (quali, ad esempio: sede, attrezzature, strumentazione, tempo sufficiente per l’espletamento dei compiti affidategli).

In linea di principio, dunque, quanto più complessi o sensibili sono i trattamenti effettuati dall’organizzazione, tanto maggiori dovranno essere le risorse messe a disposizione del DPO.

Anche il DPO, come il Privacy Officer, può operare come dipendente, o sulla base di un contratto di servizi, ma a differenza di questi è necessario che svolga i compiti e funzioni in maniera del tutto indipendente.

Ciò significa che il DPO non deve ricevere istruzioni sull’esecuzione di un compito specifico, sui risultati attesi, sulle modalità di accertamento circa un reclamo, o sulla valutazione di consultare o meno l’autorità di controllo, né trovarsi in posizioni di potenziale conflitto di interesse per cui può avere un ruolo nel determinare mezzi o finalità del trattamento né aver predisposto il sistema di gestione degli adempimenti.

Conclusioni

Considerate le peculiarità delle figure rappresentate, il modello di gestione dei dati personali ideale per le organizzazioni mature e strutturate contempla un’azione di entrambe le figure.

I rispettivi uffici devono ovviamente essere distinti, al fine di garantire la posizione del DPO e la sua azione di sorveglianza che dovrà riguardare anche gli eventuali flussi dati che coinvolgono il Privacy Officer.

È bene infine ricordare che è proprio la second opinion di consulenza prestata dal DPO sulle scelte dell’organizzazione in materia di protezione dei dati personali a richiamare l’esigenza di una sinergia operativa con un’altra funzione di compliance presso l’organizzazione.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5