Chi è e come si diventa DPO

Il ruolo del DPO (Data Protection Officer), così come disciplinato dal Regolamento UE sulla protezione dei dati personali n. 2016/679 e dalle linee guida del WG 29 del 16 dicembre 2016 successivamente emendate il 5 aprile 2017, è davvero molto delicato poiché funge da punto di raccordo fra il titolare ed il responsabile da un lato e l’Autorità Garante dall’altro. È una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie. È evidente che per svolgere la sua funzione di consulenza ha necessità di avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo.

Chi può essere il DPO?

Il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Quest’ultimo aspetto per la verità risulta poco conciliabile con le pubbliche amministrazioni per le quali è previsto proprio l’obbligo della nomina del DPO. Difatti la cronica mancanza di fondi sta rendendo difficile per gli enti pubblici esternalizzare la figura del DPO, di conseguenza in un ambito pubblicistico ci si rivolge sempre di più a proprie risorse interne di rango elevato (dirigenti o funzionari) previa specifica formazione, davvero indispensabile in tale settore.

Altra situazione è nel settore privatistico, dove nel rispetto del principio di accountability diverse aziende particolarmente esposte dal punto di vista privacy per l’attività svolta ed i dati trattati (basti pensare ad aziende che operano nel mondo bancario, sanitario o delle telecomunicazioni) hanno investito in modo appropriato e consapevole nel campo della protezione dei dati personali assicurandosi la consulenza di professionisti competenti e degni di fiducia. Naturalmente non tutte le realtà produttive sono consapevoli della necessità di avere una figura professionale di rango elevato nell’ambito della consulenza privacy e questo le espone inevitabilmente a possibili violazioni.

Quali sono i compiti del DPO?

Alla luce anche di quanto chiarito dalle già citate linee guida i principali compiti del DPO sono i seguenti:

– Vigilare sull’osservanza del Regolamento
L’art. 39, paragrafo 1, lettera b), del Regolamento UE n. 2016/679 affida al DPO, fra gli altri, il compito di sorvegliare l’osservanza dello stesso Regolamento.
Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal DPO] nel controllo del rispetto a livello interno del presente regolamento”.

Fanno parte di questi compiti di controllo svolti dal DPO, in particolare:

• la raccolta di informazioni per individuare i trattamenti svolti;
• l’analisi e la verifica dei trattamenti in termini di loro conformità, e l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.

Il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza.

Il Regolamento chiarisce che spetta al titolare, e non al DPO, “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24, paragrafo 1).

Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO.

Il ruolo del DPO nella valutazione d’impatto sulla protezione dei dati

L’art. 35 del Regolamento parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

In base all’art. 35, paragrafo 1, spetta al titolare del trattamento, e non al DPO, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nell’acronimo inglese). Tuttavia, il DPO svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di tale DPIA.
In ossequio al principio di “protezione dei dati fin dalla fase di progettazione” (o data protection by design), l’art. 35, secondo paragrafo, prevede in modo specifico che il titolare “si consulta” con il DPO quando svolge una DPIA.

A sua volta, l’art. 39, primo paragrafo, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento”.

Il WP29 raccomanda che il titolare si consulti con il DPO, fra l’altro, sulle seguenti tematiche:

• se condurre o meno una DPIA;
• quale metodologia adottare nel condurre una DPIA;
• se condurre la DPIA con le risorse interne ovvero esternalizzandola;
• quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
• se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al Regolamento.

Cooperazione con l’autorità di controllo e funzione di punto di contatto

In base all’art. 39, paragrafo 1, lettere d) ed e) del Regolamento, il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.

Le linee guida chiariscono che questi compiti attengono al ruolo di “facilitatore” attribuito al DPO nel senso che lo stesso funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti ispettivi o connessi all’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58 del Regolamento.

Approccio basato sul rischio

In base all’art. 39, secondo paragrafo, il DPO deve “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.

Si tratta di una disposizione di portata generale e ispirata a criteri di buon senso, verosimilmente applicabile sotto molti riguardi all’attività quotidiana del DPO.
In sostanza, si chiede al DPO di definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati.

Seppure ciò non significhi che il DPO debba trascurare di sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio comparativamente inferiore, di fatto la disposizione segnala l’opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.

Il ruolo del DPO nella tenuta del Registro delle attività di trattamento

Come noto l’art. 30 del Regolamento prevede che ogni titolare del trattamento e il suo eventuale rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità e lo stesso discorso vale anche per il responsabile del trattamento.

Di conseguenza la stessa disposizione, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il DPO, a “tenere un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.

Nella realtà, sono spesso i DPO a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali.

È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE.
In effetti l’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al DPO. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare stesso.

Tale registro va considerato uno degli strumenti fondamentali che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.

Come si diventa DPO?

Come già si è avuto modo di rilevare al fine di svolgere al meglio la funzione di DPO diventa indispensabile un alto livello di conoscenza interdisciplinare.
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea.

L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento.

Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo. È utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.
Nel caso di un’autorità pubblica o di un organismo pubblico, il DPO dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.

Quando, poi, il Regolamento nell’individuare i requisiti del DPO parla di capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del Regolamento.

Dall’esame delle conoscenze individuate dalla norma si rileva la notevole incisività della componente tecnico-informatica che diventa indispensabile accanto alla conoscenza approfondita della normativa in materia di protezione dei dati personali.

Esiste un corso o un albo per DPO?

Per quanto non esista un albo comunitario o nazionale dei DPO né registri simili è evidente che chi aspiri ad esercitare questa professione debba seguire dei corsi di formazione qualificati che possano fornire tutte quelle competenze necessarie. Oggi come oggi il mercato offre diverse soluzioni formative sia di matrice universitaria che privata.

La maggior parte di questi percorsi formativi si ispira alla norma UNI 11697 che parte dal presupposto che il professionista operante nell’ambito del trattamento e della protezione dei dati personali svolge un’ampia gamma di attività aventi frequentemente natura trasversale rispetto agli altri processi aziendali, sia rispetto al ciclo di vita del trattamento – dalla progettazione fino alla cessazione – sia rispetto ai temi trattati, tecnologici, legali e di altro tipo. Lo stesso professionista contribuisce quindi alla gestione o alla verifica di un insieme più o meno ampio di processi e sistemi informativi coinvolti nel trattamento di dati personali per conto di persone fisiche o giuridiche quali per esempio enti, istituzioni, associazioni, soggetti pubblici o privati.

La norma, quindi, propone uno specifico percorso formativo per i diversi profili professionali previsti che consente il mantenimento, l’aggiornamento e l’evoluzione delle competenze necessarie all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali.
Naturalmente il professionista è comunque tenuto a seguire percorsi autonomi o guidati di aggiornamento professionale continuo.

Di conseguenza attualmente abbiamo molti percorsi formativi aventi come presupposto certificazioni di carattere privato che si ispirano ai criteri della norma UNI.
Con l’avvento del GDPR la certificazione di settore ha assunto una grande rilevanza, difatti gli artt. 42 e 43 del Regolamento danno ampio spazio alla stessa ed agli organismi di certificazione e l’obiettivo ambizioso della norma UNI è anche quello di diventare la base di riferimento per la certificazione delle professionalità operanti nel campo della protezione dei dati personali che dovrà avere necessariamente natura comunitaria.

Proprio per questo motivo ACCREDIA e il Garante per la protezione dei dati personali già con un comunicato congiunto del 18 luglio 2017 hanno ritenuto necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

DPO: i profili professionali

La norma 11697 ha individuato nel settore della protezione dei dati personali ben quattro profili professionali:

• Responsabile della protezione dei dati personali

Inteso come profilo corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. È consentita l’assegnazione a tale profilo di compiti diversi e/o ulteriori inclusi in altri profili di livello manageriale nel rispetto del principio di assenza di conflitto di interessi.

• Manager privacy

Inteso come profilo pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione sia il settore di appartenenza della stessa) per garantire l’adozione di idonee misure organizzative nel trattamento di dati personali.

• Specialista privacy

Inteso come profilo pertinente a soggetti che supportano il Responsabile per la protezione dei dati personali e/o il Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento di dati personali.

• Valutatore privacy

Inteso come profilo pertinente a soggetti indipendenti con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridico/organizzativa che conducono attività del trattamento e della protezione dei dati personali che possono comunque avvalersi di specialisti in entrambi gli ambiti per effettuare attività di audit.
Naturalmente per ogni profilo sono state individuate specifiche conoscenze, abilità e competenze nonché compiti e requisiti di accesso.

In realtà oltre al DPO previsto dal GDPR gli altri tre profili professionali sono stati individuati durante i lavori preparatori della norma e, per la verità, non poche sono le difficoltà che si incontrano per un loro effettivo inquadramento.
Difatti, bisogna ammettere che, per quanto l’intento di tale norma sia meritorio, poiché per troppo tempo la materia specifica della protezione dei dati personali è stata affidata a professionisti improvvisati e poco preparati nel settore, ci sono diverse criticità che rischiano di rendere la stessa poco applicata sul mercato.

Purtroppo è poco realistica l’individuazione di tante figure autonome che ruotano intorno al mondo della protezione dei dati personali e che generano inevitabilmente una grande confusione in una materia tra l’altro molto delicata.

D’altro canto difficilmente le funzioni di DPO potranno essere svolte da una sola persona fisica in quanto contraddistinte da conoscenze molto diverse di carattere giuridico, manageriale, organizzativo, informatico, ecc. per cui, come suggerito dagli stessi garanti nello loro linee guida, la funzione di DPO potrà essere svolta da un gruppo di persone ciascuna con un suo compito ben preciso o anche da una persona giuridica che ovviamente disponga di una propria organizzazione con obiettivi predeterminati.