Come gestisco il DPO?

Un breve video e un articolo per imparare a gestire i DPO e i loro contratti.
DPO
Anagrafica e contratto
Data Protection Officer (DPO), in italiano Responsabile Protezione Dati (RPD): una figura professionale introdotta dal Regolamento Europeo che molti titolari del trattamento dovranno individuare all’interno o all’esterno della propria organizzazione.

Il DPO può essere infatti sia alle dipendenze dell’azienda oppure un soggetto esterno come ad esempio un avvocato, un ingegnere o comunque una persona dotata di idonee competenze.

Quali competenze deve avere il DPO?

Il GDPR non specifica le qualità professionali da tenere in considerazione nella scelta di un Responsabile della protezione dei dati anche se risultano indispensabili la conoscenza della normativa in materia e del regolamento Europeo sulla protezione dei dati.

Dovrà possedere competenze tecniche e giuridiche in quanto viene designato in funzione della conoscenza approfondita della normativa, delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti a lui affidati ma non solo, anche per la conoscenza delle modalità di trattamento di dati personali con le tecnologie più innovative.

Tali competenze risultano indispensabili per verificare la conformità degli adempimenti e delle soluzioni adottate dal titolare del trattamento o dal responsabile del trattamento che lo hanno designato.

Deve comprendere il funzionamento dei sistemi attraverso i quali i dati personali sono trattati ed essere in grado di valutare l’adeguatezza delle misure di sicurezza tecniche ed organizzative adottate anche in caso di sistemi informativi di trattamento ad elevata complessità.

Il DPO deve possedere anche competenze organizzative e capacità operative per essere in grado sia di individuare le eventuali difformità rispetto a quanto richiesta dalla normativa che di suggerire soluzioni nuove in grado di migliorare la compliance aziendale, sfruttando gli adempimenti burocratici come opportunità di crescita per la protezione dei dati in azienda.

 

Comunicare ed ascoltare

Anche saper comunicare e relazionarsi in modo adeguato è parte dei requisiti dell’attività di DPO che necessariamente prevede molteplici aspetti relazionali per cui saranno fondamentali anche competenze di questo tipo.

Dal punto di vista interno si troverà infatti spesso a dialogare con i vertici aziendali che lo dovranno coinvolgere sulle questioni di sua competenza, e con gli autorizzati al trattamento che potranno consultarsi con lui per eventuali dubbi sull’applicazione del regolamento o per iniziative di formazione e sensibilizzazione a tema.

Dal punto di vista esterno il DPO può venire a contatto con i soggetti interessati che necessitano di informazioni sul trattamento o sull’esercizio dei loro diritti oppure con l’autorità di controllo con cui coopera, ad esempio, in fase di ispezione, notifica di una violazione di dati personali o consultazione preventiva quando necessario.

 

Fondamentale anche la sua capacità di farsi capire attivando in azienda una strategia comunicativa funzionale ad instaurare un rapporto di collaborazione con i suoi interlocutori.

Oltre a comunicare deve saper ascoltare con attenzione e disponibilità fornendo i chiarimenti necessari e rendendo più facile l’individuazione di adeguate soluzioni che gradualmente conducano l’azienda verso gli opportuni miglioramenti.

 

Aspetti etici del responsabile della protezione dei dati

Come recita il considerando 92 "dovrebbero poter adempiere alle funzioni e ai loro compiti in maniera indipendente"

In questo caso possedere un etica significa mantenere, anche in situazioni complesse, un atteggiamento imparziale che è una caratteristica necessaria per ricoprire ruoli di garanzia come questo.

In alcune occasioni, può capitare che, un’attività svolta sui trattamenti non sia conforme a quanto richiesto dalla norma. In questa situazione sarà dovere del DPO farlo presente anche se rischia di entrare in conflitto con il soggetto che l’ha designato.

Oltre a competenze tecniche, giuridiche e relazionali sarà dunque rilevante che il DPO mantenga un senso di responsabilità e di forte considerazione della propria mansione finalizzata esclusivamente alla tutela del diritto alla protezione dei dati ed un aumento delle garanzie per gli interessati.

In particolare non dovrà:

  • ricevere istruzioni
  • assumere incarichi in conflitto con il ruolo di garanzia che ricopre
  • ricevere penalizzazioni o rimozioni
  • essere privo di risorse per l’espletamento dell’incarico

L’articolo 38, paragrafo 2, del GDPR prescrive inoltre al titolare del trattamento o al responsabile del trattamento l’obbligo di fornire al DPO "le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica".

Tali risorse non dovranno, quindi, essere solo economiche, ma anche di struttura interna e di tempo necessario a svolgere i propri compiti.

Certificazioni

Per diventare DPO non è richiesto un titolo particolare o l’iscrizione ad un albo; è però necessario dimostrare la conoscenza della normativa e l’esperienza pregressa su tematiche strettamente legate alla protezione dei dati personali.

E' compito del Titolare del trattamento dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo tenendo in considerazione la qualifica, le esperienze pregresse e i corsi frequentati.

Oltre a conoscere in maniera adeguata le modalità di trattamento con sistemi informatici, compresi gli aspetti di cybersecurity, è altrettanto importante che abbia conoscenza approfondita del settore di attività in cui opera l’organizzazione.

 

Quando è obbligatorio nominare un DPO?

In base all’articolo 37 del GDPR, la nomina di un DPO è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali.
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala.
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Come lo inserisco in UTOPIA?

Per aggiungere un Data Protection Officer è sufficiente accedere alla sezione DPO di un'organizzazione e cliccare il pulsante + (in alto a destra).

In questa sezione puoi, nel caso non sia presente, indicare i motivi che hanno portato l’organizzazione alla decisione di non procedere alla sua designazione.

Il DPO potrà essere sia un’azienda che una persona fisica ed è sufficiente compilare i dati anagrafici e salvarlo. È possibile anche indicare se il DPO è interno oppure esterno all'azienda e nel caso di DPO esterno puoi inserire tutti i dati dell'azienda per cui lavora.

In entrambi i casi è possibile aggiungere il contratto di servizio cliccando sul pulsante Allega attraverso il quale è possibile effettuare l'upload di qualsiasi tipo di documento.

Il censimento dei DPO è un operazione fondamentale nel caso in cui questa figura sia necessaria soprattutto nel momento in cui si andrà a redigere un trattamento o creare un informativa.

Torna alla documentazione

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...