L’art. 37 del GDPR - il nuovo Regolamento europeo sulla protezione dei dati entrato in vigore nei Paesi UE il 25 maggio 2018 - sancisce che il titolare e il responsabile del trattamento debbano designare il responsabile della protezione dei dati o DPO (Data Protection Officer). Questa figura rappresenta una novità nel panorama normativo della privacy ed è obbligatoria, si legge nell’articolo, ogniqualvolta:
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Le linee guida dei Garanti europei o WP29 (oggi EDPB, European Data Protection Board) raccomandano comunque la designazione di un DPO anche quando non sia strettamente prescritto dal Regolamento
I compiti del DPO (art. 39 GDPR)
Il DPO, che può essere un dipendente o un consulente incaricato in base a un contratto di servizio, deve svolgere i seguenti compiti, come indicato nell’art. 39 del GDPR:
- cooperare con l’autorità di controllo;
- sorvegliare sull’osservanza del GDPR;
- informare e fornire consulenza in merito agli obblighi del Regolamento e ad altre disposizioni in materia di protezione dei dati;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati o DPIA (Data Protection Impact Assessment);
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
Nell’esercizio di queste mansioni, l’art. 38 raccomanda che il titolare e il responsabile del trattamento sostengono il DPO «fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».
Gli strumenti indispensabili del DPO
Alla luce di quanto detto sopra, il DPO deve poter esercitare le sue prerogative avendo a disposizione strumenti che gli consentano di eseguire un audit approfondito sui sistemi IT, in modo da consigliare al meglio titolare e responsabile. È bene ricordare, fra l’altro, che poiché si tratta di una figura di controllo e di consulenza, la responsabilità rimane sempre in capo all’azienda che gli ha conferito l’incarico. La stessa che deve preoccuparsi di rendere compliant al GDPR la sua infrastruttura, sebbene con l’ausilio fondamentale del DPO. Infatti, tra gli elementi principali che influiscono sul lavoro del DPO va sottolineato il livello di innovazione della tecnologia dell’organizzazione assistita. Una delle ragioni per cui il 40% delle aziende italiane risulta ancora non avere in organico risorse per la data protection deriva da problemi connessi all’architettura informatica. Talvolta, la compresenza disordinata di piattaforme, CRM, ERP, database sia on- premise sia in Cloud rende difficoltosa la visibilità dei dati e la loro suddivisione gerarchica tra quelli che rientrano nella tipologia normata dal Regolamento e quelli che ne sono esclusi.
Il DPO come parte dei Managed Services
A questa situazione il DPO può supplire grazie a software e app di configurazione con i quali, prima di evidenziare le eventuali criticità, sia possibile mappare la collocazione dei dati personali a riposo e lungo il tragitto che li vede spostarsi nella Rete. Tuttavia, la dimensione aziendale e la complessità dell’assetto organizzativo diventano delle variabili importanti che possono suggerire una committenza più ampia, che non si limiti alla figura singola del DPO. Non a caso oggi molte aziende si avvalgono sempre di più non solo di professionisti esterni, nonostante la normativa non obblighi a reperirli al di fuori dell’impresa, ma anche di servizi che comprendono la conformità al GDPR e l’incarico a un DPO qualificato.
In altri termini, nella stipula di contratti di Managed Services, cioè di servizi IT gestiti in outsourcing, viene inclusa anche la consulenza al DPO. Con il risultato che, anche se i sistemi non sono in grado di offrire gli strumenti adeguati alla funzione del responsabile della protezione dei dati, lo diventeranno in seguito al coinvolgimento di una società specializzata nella compliance al GDPR di cui anche il DPO è parte integrante.