Data Protection Officer: istruzioni operative sulle sue attività

Il ruolo del DPO (Data Protection Officer) così come previsto e disciplinato dal regolamento UE n. 2016/679 è davvero molto delicato poiché funge da punto di raccordo fra il titolare ed il responsabile da un lato e l’Autorità Garante dall’altro.

E’ una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie. E’ evidente che per svolgere la sua funzione di consulenza ha necessità di avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo.

Tale figura può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Quest’ultimo aspetto per la verità risulta poco conciliabile con le pubbliche amministrazioni per le quali è previsto proprio l’obbligo della nomina del DPO. Difatti la cronica mancanza di fondi renderà davvero difficile per gli enti pubblici esternalizzare la figura del DPO, di conseguenza appare evidente che in un ambito pubblicistico sarà necessario rivolgersi a proprie risorse interne presumibilmente di rango elevato (dirigenti o funzionari) solo previa specifica formazione, davvero indispensabile in tale settore.

Altra situazione sarà nel settore privatistico, dove, nel rispetto del principio di accountability, molte aziende particolarmente esposte dal punto di vista privacy per l’attività svolta ed i dati trattati (basti pensare ad aziende che operano nel mondo bancario, sanitario o delle telecomunicazioni) dovrebbero investire in modo appropriato e consapevole nel campo della protezione dei dati personali assicurandosi la consulenza di professionisti competenti e degni di fiducia con contratti che prevedano un impegno di almeno 4 anni rinnovabili.

Come è noto la figura del DPO non costituisce una novità assoluta. La direttiva 95/46/CE non prevedeva alcun obbligo di nomina di un DPO, ma in molti Stati membri questa è divenuta una prassi nel corso degli anni.

Si ricorda, difatti, che il DPO è già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria, la Repubblica Ceca; in altri ordinamenti, come la Francia ed il Lussemburgo, la nomina di tale soggetto è facoltativa.

Ma quale dovrà essere l’approccio di un DPO una volta assunto da un’azienda o da un ente?

Naturalmente non esistono delle regole uniche poiché è ovvio che ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione.

  1. Conoscere tutti gli aspetti organizzativi dell’azienda o ente: il DPO deve necessariamente analizzare ed approfondire il core business dell’azienda o comunque i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento.
  2. Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules). In genere questo tipo di attività viene svolto attraverso la diretta compilazione dei registri delle attività di trattamento che, come già si è avuto modo di vedere, per quanto considerate a livello di Regolamento attività proprie del titolare e del responsabile del trattamento, alla fine vengono svolte dallo stesso DPO, più che altro, per ragioni di opportunità.
  3. Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente.
  4. Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie (videosorveglianza, biometria, Rfid, big data, uso della rete per attività di marketing, profilazione, posta elettronica aziendale, sistemi automatici decisionali ed utilizzo dell’IA, tecnologie robotiche, cloud computing, IoT, ecc.).
  5. Analizzare l’impatto delle predette nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di un DPIA. Siamo di fronte ad una della attività più importanti disciplinate dal Regolamento europeo per la quale oltre, ovviamente, ai vari suggerimenti delle autorità garanti (v. linee guida del 4 aprile 2017) è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” di prossima pubblicazione che propone: un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti.
  6. Aiutare il titolare del trattamento nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento.
  7. Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi.
  8. Supportare il titolare del trattamento nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati.
  9. Aiutare l titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni.
  10. Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO.
  11. Curare i rapporti con l’Autorità garante su tutte le tematiche che dovessero investire l’azienda o l’ente in materia di privacy.
  12. Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

In termini ancora più generali possiamo individuare le seguenti attività che dovranno rappresentare un punto di riferimento continuo per un DPO:

  • Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali);
  • Gestione archivio dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati);
  • Policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi);
  • Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy);
  • Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi);
  • Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, – policy, requisiti, e tolleranza del rischio operativo);
  • Comunicazioni (informazioni e comunicazioni agli individui coerenti con la politica privacy);
  • Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali);
  • Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l’attuazione della Privacy by design);
  • Gestione data breach;
  • Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy;
  • Best practices.

Sul tema si segnala:

  • KLEOS – Il software On Cloud per avvocati, Wolters Kluwer. Kleos è l’innovativo software gestionale per Avvocati e Studi Legali in cloud computing che offre la libertà di gestire tutte le attività di studio da computer e da dispositivi mobili, per offrire un servizio migliore ai tuoi clienti e migliorare la qualità del tuo lavoro. Richiedi la prova gratuita.
Fonte: Altalex | di Michele Isaelli

© 2017 Associazione Privacy Italia - C.F. 91039930192 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo