La figura del Responsabile della protezione dei dati o Data Protection Officer è sicuramente una delle maggiori innovazioni introdotte dal Il Regolamento generale sulla protezione dei dati personali (Ue) 2016/679 (RGPD o GDPR secondo l’acronimo inglese). Il GDPR utilizza tre articoli per delineare la figura del DPO: l’art. 37 GDPR che riguarda la designazione del responsabile della protezione dei dati; l’art. 38 riguarda la posizione del DPO all’interno dell’organizzazione aziendale; l’art. 39 GDPR che elenca i compiti del DPO.
DPO cosa fa: compiti specifici
Al fine di comprendere i compiti specifici del DPO elencati nell’art. 39 del GDPR, non possiamo prescindere da un’analisi sia dell’art. 37 GDPR che dell’art. 38 GDPR. Queste tre norme, infatti, devono necessariamente essere lette insieme.
L’art. 37 del GDPR specifica che il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
Bisogna sottolineare come l’art. 37 ponga l’accento sulle qualità professionali e in particolare la conoscenza specialistica della normativa e delle prassi. Queste definizioni chiariscono che il DPO non si può improvvisare, ma è fondamentale che sia un professionista e che abbia conoscenze specialistiche della materia della protezione dei dati e soprattutto che aggiorni costantemente queste conoscenze (da qui il rimando alla prassi). Conoscenze specialistiche che non sono fini a se stesse, ma sono fondamentali per l’assolvimento dei compiti dell’art. 39 GDPR.
All’art. 37 GDPR fa eco l’art. 38 GDPR quando delinea la peculiare posizione del DPO. Anche l’art. 38 GDPR è strettamente collegato con i compiti elencati nell’art. 39 GDPR questo perchè nell’assolvere le sue funzioni il DPO gode di una posizione piuttosto particolare all’interno dell’azienda anche quando si è in presenza di un rapporto di lavoro subordinato. Il DPO, infatti, gode di una posizione di indipendenza rispetto all’azienda. L’art. 38 GDPR specifica che il DPO non deve ricevere nessuna istruzione e non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
L’analisi, seppur sommaria, effettuata degli artt. 37 e 38 GDPR ci aiuta definire meglio i compiti del DPO che il GDPR indica all’art. 39 e che sono elencati nel comma 1:
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Dall’elenco dell’art. 39 GDPR emerge che il generale obbligo del DPO di informare (e di essere a sua volta informato) e di sorvegliare l’operato dell’azienda in materia di protezione dei dati. L’obbligo di informazione è un principio fondamentale che può essere trovato in tutto il GDPR, ma nel caso del DPO riveste una funzione particolare di prevenzione. Una corretta informazione che coinvolge sia il titolare del trattamento, sia il responsabile, sia i dipendenti che si trovano a dover trattare i dati è il primo passo per evitare o attenuare eventuali problematiche. Il DPO è investito per questo di un ruolo quasi pedagogico che si estrinseca in una vera e propria educazione al GDPR verso il personale dell’azienda.
Il secondo punto dell’elenco contenuto al comma 1 dell’art. 39 GDPR, infatti, fa esplicito riferimento alla sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Accanto a questo generale obbligo di formazione è previsto l’obbligo di sorvegliare l’osservanza dell’applicazione in azienda del regolamento privacy a cui si accompagna il dovere di fungere da contatto e collaborare con l’autorità di controllo. Per facilitare il compito di sorveglianza l’art. 38 del GDPR impone di coinvolgere tempestivamente e adeguatamente il DPO in tutte le questioni riguardanti la protezione dei dati personali. Al titolare e al responsabile del trattamento, inoltre, è imposto l’obbligo di sostenere il DPO nell’esecuzione dei suoi compiti fornendogli altresì le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
La sorveglianza a cui si riferisce il regolamento non è mai una mera attività di controllo, ma come ricorda il comma 2 dell’art. 39 GDPR nell’esecuzione dei propri compiti al responsabile della protezione dei dati è imposto il dovere di considerare debitamente i rischi inerenti al trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. Ancora una volta, dunque, il regolamento sottolinea come il ruolo del DPO non possa mai considerarsi come quello di un osservatore passivo scevro da quanto accade in azienda. Il DPO è immerso nell’azienda e ne conosce la struttura e le dinamiche. Soprattutto al fine di adempiere ai suoi compiti deve sviluppare particolari capacità di relazionarsi con il personale aziendale. Questo aspetto spesso è poco considerato nel curriculum di un DPO, ma è particolarmente importante nella pratica.
Esiste un corso per diventare DPO?
Sebbene il GDPR nulla dica in proposito nel tempo si sono sviluppati una serie di standard che fanno riferimento alla norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Tale norma detta una serie di requisiti e un percorso formativo volti ad ottenere una certificazione delle competenze e conoscenze acquisite. Oltre alla certificazione prevista per il Responsabile della protezione dei dati, la norma UNI 11697 prevede le figure del Manager Privacy, Auditor Privacy e dello Specialista Privacy.
Il percorso formativo pensato per il Responsabile della protezione dei dati secondo la norma UNI 11697 riguarda l’acquisizione di abilità e conoscenze non solo di carattere legale, ma anche tecnologico e di gestione. Il professionista che andrà ad esercitare il proprio lavoro in ambito privacy dovrà avere una conoscenza approfondita della normativa in materia di protezione dati che tenga conto degli sviluppi recenti come dell’evoluzione che ha subito nel corso degli anni. Il professionista, inoltre, sia che sia parte dell’azienda sia che sia un esterno dovrà avere contezza e sapersi inserire nei processi aziendali senza rappresentare un turbamento dell’assetto organizzativo attuale dell’azienda.
Affidarsi a dei professionisti della formazione dunque resta la via maestra per sviluppare le competenze necessarie a diventare un Responsabile della protezione dei dati che guarda all’azienda a 360 gradi creando sinergie che portano a integrare la tutela della privacy nei processi aziendali attraverso un processo armonioso e non discorde.
Ma le certificazioni valgono?
Il Regolamento privacy disciplina le certificazioni agli articoli 42 e 43. Tali articoli però fanno riferimento alla certificazione dei trattamenti di dati (“allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento”). Il Garante ha specificato dunque che in quanto orientata alla certificazione di persone (e non del trattamento), la certificazione secondo la norma UNI 11697 non rientra tra quelle previste dall’art. 42 del GDPR. Tuttavia, il Garante sottolinea come la certificazione secondo la norma UNI 11697 “può rappresentare comunque, al pari di altri titoli, un valido strumento ai fini della dimostrazione del possesso, e del mantenimento, delle conoscenze, abilità e competenze da parte dei professionisti”.
Il Garante aggiunge, inoltre, che “per alcune figure che svolgono un ruolo importante negli organismi di certificazione (il personale responsabile delle decisioni e il personale responsabile delle valutazioni) il possesso di una certificazione a fronte della norma UNI 11697 è un elemento idoneo a dimostrare i requisiti di competenza ed esperienza in materia”(per approfondire si consultino le FAQ presenti sul sito del Garante per la Protezione dei Dati Personale: https://www.garanteprivacy.it/regolamentoue/certificazione-e-accreditamento). Di conseguenza è possibile affermare che oggi una certificazione UNI 11697 è un titolo indispensabile per il professionista che voglia dimostrare le proprie competenze in materia di privacy quale Responsabile della protezione dei dati.
