Data Protection Officer: chi deve nominarlo e come sceglierlo

Il Responsabile della Protezione dei dati personali, o Data Protection Officer (DPO), è una  figura di cui si sentirà tanto parlare nei prossimi mesi. Per questo è necessario fare un pò di chiarezza su chi sono i soggetti obbligati a nominarlo, qual è il suo ruolo e quali sono le sue responsabilità, e su questo ci vengono in aiuto le linee guida del Gruppo di lavoro Europeo ex art. 29.

Soggetti obbligati  (ex art.37 GDPR)

Innanzitutto l’articolo 37 del regolamento specifica chiaramente chi è da intendersi come soggetto obbligato. A meno di non rientrare espressamente in queste categorie, che a breve vedremo, il Gruppo di Lavoro consiglia a tutti i titolari e responsabili del trattamento di effettuare una analisi per determinare l’applicabilità o meno dell’obbligo di nomina del DPO e di tenerne traccia. E’ inoltre possibile nominare un DPO su base volontaria.

1. Pubblica amministrazione

Con il termine pubblica amministrazione bisogna intendere non solo gli enti pubblici, ma anche tutta quella gamma di società partecipate, convenzionate, controllate che svolgono un compito o forniscono un servizio in nome e per conto dell’amministrazione pubblica. Il DPO nominato in quest’ambito è raccomandato che si occupi non solo di tutti i servizi erogati al pubblico, ma anche dei processi interni (gestione del personale, contabilità, etc).

2. L’attività principale riguarda trattamenti di monitoraggio sistematico di dati su larga scala

E’ opportuno chiarire bene i concetti presenti in questa definizione. Come attività principale si intende l’attività che genera business in azienda. Per esempio un ospedale o una compagnia di vigilanza interna per svolgere la loro attività inevitabilmente trattano dati altrui e pertanto sono attività tenute a nominare un DPO. Stesso discorso vale per tutte le società che forniscono alle aziende clienti il servizio di Amministratore di rete esterno o di gestione paghe e consulenza del lavoro. Diverso è invece il discorso relativo alla gestione dei servizi IT o gestione del personale interni all’azienda, che si possono invece considerare attività accessorie al business principale e pertanto non determinano l’obbligo di nominare il DPO.

Per quanto riguarda il concetto di larga scala, non esiste ancora una quantificazione di cosa è definibile con “larga scala”. I criteri da tenere in considerazione per ora sono questi: il numero dei soggetti interessati; il volume e il range di informazioni trattati; la durata del trattamento; l’estensione geografica del trattamento. Ad esempio rientrano in questa definizione gli ospedali, chi elabora statistiche sulla base della geolocalizzazione, chi elabora i dati dei clienti di banche o assicurazioni, chi elabora in modo automatizzato i dati per marketing mirato, chi gestisce i dati per conto dei provider internet o telefonici. Sono invece esclusi gli studi medici o legali in cui opera un unico professionista.

Per quanto riguarda infine il concetto di regolare e sistematico monitoraggio dei dati ci si riferisce a tutti i sistemi di profilazione e tracciamento automatico dell’utente che, per esempio, possono essere effettuati tramite: i network di telecomunicazioni; l’email retargeting; la profilazione del cliente per scopi assicurativi, bancari, etc; la geolocalizzazione tramite mobile app; i programmi fedeltà; il marketing comportamentale (tipìco di google e dei social media) e tutta quella nuova frontiera che riguarda i wearable devices per il monitoraggio dello stato di salute e delle performance fisiche nonchè l’elaborazione delle informazioni derivanti dagli oggetti interconnessi (noto anche come IOT o internet of things). In ogni caso i criteri su cui basarsi per valutare la sistematicità e regolarità del trattamento sono: la periodicità e la durata con cui questo viene effettuato, se è svolto in modo metodico, organizzato, sistematico, inserito all’interno di un progetto di raccolta ed elaborazione dei dati e all’interno di una specifica strategia aziendale.

3. Vengono trattati dati  sensibili o giudiziari

Si fa riferimento a tutti i titolari o responsabili che trattano i dati elencati agli articoli 9 e 10 del GDPR: dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché  dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, nonchè i dati collegati a reati e condanne penali.

Le caratteristiche del DPO

Il DPO viene nominato sulla base del trattamento svolto. E’ pertanto possibile che venga nominato dal Titolare perchè svolge in modo diretto una attività fra quelle obbligate, oppure può essere nominato dal Responsabile esterno cui tale attività viene appaltata. Oppure può essere un obbligo in capo ad entrambi. L’importante è che in presenza di uno dei trattamenti elencati precedentemente tale figura vi sia e sia debitamente contrattualizzata.

Il DPO può essere interno o esterno all’azienda e identificato in una persona o in un team di lavoro (con compiti ben specificati in capo ad ogni membro), l’importante è che abbia la possibilità di comunicare facilmente con il titolare/responsabile e con i dipendenti che svolgono i trattamenti sui dati personali; che cooperi con le autorità di controllo ogni qualvolta sia necessario; che abbia modo e tempo di svolgere efficientemente la sua funzione, soprattutto quando è referente per diversi enti; che garantisca il segreto professionale. E’ previsto che i suoi recapiti (mail o linea telefonica dedicata) siano resi pubblici dal titolare/responsabile al fine di permettere a chiunque ne avesse necessità di mettersi agevolmente in contatto con il DPO.

Deve poi possedere delle caratteristiche personali che lo rendano idoneo al compito assegnato:

1. Livello di esperienza: deve essere commisurato alla sensibilità ed alla complessità del trattamento, nonchè alla mole di dati trattati ed al fatto che vi sia o meno un sistematico invio di dati all’estero.

2. Qualità professionale: ovviamente deve essere esperto del GDPR e dei requisiti legali previsti a livello nazionale, ma è anche opportuno che conosca le modalità operative del settore nel quale opera.

3. Capacità di svolgere il compito: è strettamente correlata alla sua abilità non solo nel garantire la piena conformità al GDPR, ma anche nel divulgare una cultura della tutela del dato all’interno dell’ente, sapendo convogliare a tutte le funzioni interessate i principi riguardanti la tutela del dato e dei diritti degli interessati, i concetti di  privacy by design e by default, le misure di sicurezza tecniche atte a garantire l’integrità dell’infrastruttura informatica.

Dal punto di vista del ruolo e dell’effettiva operatività del DPO, si specifica innanzitutto che è necessario coinvolgerlo tempestivamente in tutte le questioni inerenti la protezione dei dati, così da garantire un approccio in ottica privacy by design. Dovrebbe pertanto partecipare regolarmente ai management meeting, soprattutto quando si devono prendere decisioni operative riguardanti il trattamento dei dati. In tali occasioni la sua opinione deve essere presa in considerazione e se vi sono obiezioni, devono essere documentate. Sicuramente deve poi essere coinvolto ogni qualvolta si verifica un data breach.

Per svolgere correttamente il suo compito deve essere supportato dal senior management, deve essergli garantito tempo sufficiente da dedicare alla protezione dei dati, deve essergli messo a disposizione un budget adeguato e lo staff necessario e deve essergli dato accesso a tutte le funzioni aziendali. Deve aver poi  la possibilità di accedere a percorsi di formazione continua e, se necessario in base alla complessità del trattamento, può essere meglio optare per un team all’interno del quale viene individuato un team leader.

Fondamentale è il concetto poi di autonomia del DPO, che deve operare sulla base della propria esperienza e non su istruzioni impartite dal titolare, fermo restando che non ha potere decisionale ma può solo riferire al titolare che rimane l’unico responsabile delle decisioni prese e della conformità ai requisiti del decreto. Il DPO inoltre non può in alcun modo essere penalizzato o sanzionato per la sua attività o per le indicazioni fornite, in particolare per quanto riguarda figure all’interno all’azienda che non devono subire discriminazioni per il lavoro svolto. Qualora ovviamente il titolare non fosse soddisfatto del lavoro svolto dal DPO, può sollevarlo dall’incarico o terminare il contratto (se è un consulente esterno). Come anche per i membri dell’organismo di vigilanza 231, è opportuno evitare conflitti di interesse in capo al DPO.

I compiti del DPO

Il DPO ha principalmente una funzione consulenziale nei confronti del titolare e deve pertanto raccogliere tutte le informazioni necessarie ad identificare trattamenti e dati trattati, analizzare e verificare il grado di conformità dei vari processi e fornire indicazioni e consigli al titolare, che resta ultimo responsabile della conformità normativa. Nel caso il titolare debba effettuare una valutazione di impatto del trattamento, è opportuno che tale valutazione sia realizzata con l’ausilio del DPO, in particolare chiedendogli supporto sulla metodologia da adottare, sulle misure che è opportuno prevedere e sulla correttezza delle conclusioni ottenute.

Deve svolgere poi il suo compito sulla base di una valutazione dei rischi che gli permetta di individuare le aree maggiormente a rischio e fornire al titolare una priorità di intervento che gli consenta di allocare correttamente e sensatamente  budget e risorse .