Il GDPR richiama esplicitamente il ruolo del Responsabile della protezione dei dati (RPD) – o per dirla in lingua originale Data Protection Officer (DPO) – un ruolo chiave della sicurezza, responsabile della gestione, della pianificazione e dell’attuazione delle politiche di protezione dei dati per garantire la conformità con il GDPR.
L’articolo 37 del GDPR, che tratta la designazione del responsabile della protezione dei dati, afferma che:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
| a) | il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; |
| b) | le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure |
| c) | le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10. |
Come ottengo la conformità?
È necessario un Responsabile della protezione dei dati se la propria organizzazione raccoglie, elabora o memorizza quantità non irrilevanti di dati personali di cittadini dell’UE (per dipendenti, individui al di fuori dell’organizzazione o entrambi). Un Responsabile della protezione dei dati è inoltre sempre necessario per le organizzazioni e autorità pubbliche.
La formula scelta dal GDPR è volutamente ampia: oltre inglobare qualsiasi Pubblica Amministrazione o qualsiasi azienda che opera con la P.A., essa fa riferimento a tutte le imprese, grandi, medie o piccole, che trattano dati in maniera non irrilevante.
In sintesi, non sono certo soltanto i social network o le grandi compagnie ad aver bisogno di un Responsabile della protezione dati, bensì anche agenzie di viaggi, siti di e-commerce e commercio al dettaglio, case di cura e laboratori di analisi, e così via.
Punti da ricordare durante l’assunzione di un RPD:
Qualifiche di un Responsabile della protezione dei dati: in base al GDPR, un Responsabile della protezione dei dati deve disporre di “conoscenza approfondita delle leggi e delle prassi in materia di protezione dei dati”, il che lascia intendere che debba trattarsi di un professionista legale, preferibilmente un avvocato. Il responsabile della protezione dei dati deve inoltre avere una conoscenza approfondita del funzionamento dell’infrastruttura IT, dei processi delle risorse umane e dell’organizzazione del gruppo. Un RPD ha bisogno di solide capacità di gestione e comunicazione per formare e interfacciarsi con il personale interno, incluso il consiglio di amministrazione.
Responsabilità di un Responsabile della protezione dei dati: l’articolo 39 è dedicato ai compiti di un responsabile della protezione dei dati. Questi includono:
- Garantire che la direzione e il personale dell’organizzazione, nonché i fornitori di terze parti, che gestiscono i dati, siano a conoscenza delle norme del GDPR e del modo in cui influiscono sui loro processi.
- Monitoraggio della conformità ai regolamenti GDPR per l’attività sia dell’organizzazione che dei responsabili del trattamento di dati esterni.
- Fornire formazione all’organizzazione e ai venditori.
- Supervisione delle valutazioni d’impatto sulla protezione dei dati.
- Essere il punto di contatto per le autorità di vigilanza in materia di protezione dei dati.
Perchè affidarsi a un consulente esterno: un RPD può essere interno o esterno (consulente), ma deve essere sufficientemente imparziale da aiutare gli auditor esterni e avvisarli in caso di violazioni / non conformità. L’articolo 38 protegge il Responsabile della protezione dei dati dall’essere penalizzato nello svolgimento dei propri compiti. Il Gruppo di lavoro 29 (WP29) ha inoltre chiarito che il responsabile della protezione dei dati non può detenere una posizione all’interno dell’organizzazione che lo induca a determinare le finalità e i mezzi del trattamento. E’ chiaro che per motivi economici e di imparzialità, nonché per la necessaria competenza specifica, l’alternativa migliore è affidarsi ad un professionista esterno.
Qualifiche alternative: i RPD possono trarre vantaggio dall’avere un ampio curriculum. La cyber-sicurezza è un’area che può influenzare positivamente il modo in cui un RPD prende in considerazione le situazioni che influiscono sulla privacy dei dati internamente e aiuta le inevitabili domande dei clienti sulla posizione di sicurezza dell’azienda in relazione alle informazioni circa l’identificazione dei dati. Molte aziende potrebbero avere difficoltà a trovare la persona giusta per la posizione di RPD; specialmente piccole e medie imprese. Potrebbe essere sensato reclutare un candidato con una vasta gamma di competenze ed esperienza in materia legale, specialmente un avvocato, che abbia però altresì nozioni di sicurezza informatica, gestione IT e spiccate competenze digitali.
Infine, il livello necessario di conoscenze specialistiche dovrebbe essere determinato in particolare in base al livello di specializzazioni e titoli conseguiti dal RPD.
Elio Errichiello
