DPO

Home » News & Press » DPO

DPO

0 Comments
Criteri per la scelta del DPO

Una volta effettuata la valutazione in merito all’obbligo o meno di nominare il DPO ed essersi assicurato che il soggetto designato dimostri di avere una conoscenza approfondita della materia – concetti di cui abbiamo parlato nel precedente articolo “Chi è e quando è prevista la nomina del DPO” – il Titolare/Responsabile del trattamento dovrà focalizzarsi sui criteri per effettuare la migliore scelta, in linea con le indicazioni del GDPR.

Il DPO potrà essere scelto sia al proprio interno, mediante uno specifico atto di designazione, sia affidandosi a un professionista o a una società esterna all’azienda, in base ad un contratto di servizi, a patto che, ai sensi dell’articolo 38 del GDPR:

1. Al DPO venga garantita la piena indipendenza nello svolgimento del proprio ruolo

L’articolo 38, terzo paragrafo, del GDPR fissa alcune garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del Titolare/Responsabile del trattamento, il quale deve assicurarsi che:

a. il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti, che sia o meno un dipendente del Titolare/Responsabile del trattamento.

b. il DPO non può essere rimosso o penalizzato dal Titolare/Responsabile del trattamento per l’adempimento dei propri compiti, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attività da questi svolte.

Il principale effetto di queste garanzie si traduce nel fatto che il DPO non è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali.

Infatti, è compito del Titolare/Responsabile del trattamento (ai sensi del principio di accountability sancito dall’articolo 24 del GDPR) mettere in atto le misure tecniche ed organizzative adeguate a garantire e dimostrare che il trattamento dei dati personali è effettuato conformemente al GDPR; pertanto, se il Titolare/Responsabile del trattamento assume una decisione incompatibile con il GDPR e/o le indicazioni fornite dal DPO, quest’ultimo deve avere la possibilità di manifestare formalmente il proprio dissenso.

Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del Titolare del trattamento, che è (eventualmente in solido col Responsabile) l’unico soggetto responsabile, in ultima istanza, del rispetto della normativa.

Il Titolare/Responsabile del trattamento potrà quindi solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO, in virtù del mancato adempimento dei suoi obblighi di consulenza ed assistenza (per i casi ad esempio di dolo o colpa grave).

A tutela della sua autonomia, il Titolare/Responsabile del trattamento deve mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito, prescrizione che può tradursi in alcune delle prassi indicate anche dalle Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29), quali:

  • assicurare al DPO il supporto e il costante confronto con il senior management;
  • consentire al DPO l’accesso ai dati e alle operazioni di trattamento, ricevendo il supporto e le relative informazioni dalle rispettive aree aziendali coinvolte;
  • assicurarsi che, qualora il soggetto designato DPO debba svolgere anche altri compiti, questi ultimi non interferiscano con il corretto ed efficace espletamento del suo ruolo;
  • assicurare formazione ed aggiornamento costanti del DPO in materia di protezione dei dati personali.

Come ricordano puntualmente le Linee guida del WP29, “In linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD” poiché “La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto”.

2. Il DPO non svolga altri compiti e funzioni, che diano adito a un conflitto d’interessi con il suo ruolo

L’articolo 38, sesto paragrafo, del GDPR, enuncia il criterio di assenza di conflitto di interessi da parte del DPO, il quale è strettamente connesso agli obblighi di indipendenza del medesimo, con particolare riferimento allo svolgimento di altri compiti e funzioni.

Come indicano anche le Linee guida del WP29, sebbene sia opportuno operare una valutazione caso per caso guardando alla specifica struttura organizzativa del singolo Titolare/Responsabile del trattamento, il conflitto di interessi può essere riferito, in sostanza, al caso in cui il DPO “rivesta, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali”.

In tale ottica, il ruolo di Data Protection Officer appare quindi incompatibile, ad esempio, con incarichi di alta direzione (amministratore delegato, direttore generale, ecc.), o con figure responsabili nell’ambito di strutture aventi potere decisionale (direzione risorse umane, direzione finanziaria, direzione affari generali e legali, responsabile IT, etc.).

Recentemente, questo delicato aspetto è stato affrontato nella decisione n. 18/2020 dell’Autorità di controllo sulla protezione dei dati personali del Belgio, con cui è stata sanzionata un’azienda per violazione dell’articolo 38, paragrafo 6, del GDPR, in riferimento all’assenza di conflitto di interessi del DPO.

Nella fattispecie, il soggetto designato ricopriva contemporaneamente il ruolo di responsabile dei dipartimenti di Compliance, Risk Management e Internal Audit, emergendo, in particolare, il conflitto d’interessi nel momento in cui le sue attività non si limitavano all’analisi dei processi di business e alla stesura di un report (di impronta meramente consultiva), ma comportavano anche la concreta predisposizione delle azioni di remediation, in grado quindi di incidere, anche profondamente, nelle scelte aziendali.

DPO esterno sulla base di un contratto di servizi

Come già precedentemente anticipato, il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere, ai sensi dell’articolo 37, paragrafo 6, del GDPR, esternalizzato a un fornitore di servizi (libero professionista o azienda) attraverso un apposito contratto.

Anche qualora la funzione di Data Protection Officer venga esercitata da una persona giuridica, è necessario individuare un soggetto fisico «referente», il quale – come sancito dalla terza sezione del TAR Puglia di Lecce con la sentenza n. 1468/2019 – deve «appartenere alla persona giuridica nominata DPO», impedendosi quindi, per questa funzione, qualsiasi tipo di subappalto ad un soggetto esterno.

Tale decisione si fonda sul principio espresso dalle Linee guida del WP29, secondo cui “qualora la funzione di DPO sia svolta da una persona giuridica, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del GDPR”: un concetto che, ribadisce la sentenza, si riferisce – come stabilito anche dalla versione italiana ufficiale delle Linee guida – “ad ogni membro interno all’organizzazione incaricata che svolge la funzione di DPO” e non “ad ogni soggetto (esterno) cui la persona giuridica incaricata fa svolgere le funzioni di DPO”, sulla base di un accordo di prestazione professionale.

Comunicazione e pubblicazione dei dati di contatto del DPO

Ai sensi dell’articolo 37, paragrafo 7, del GDPR, il Titolare/Responsabile del trattamento deve pubblicare i dati di contatto del DPO e comunicarli all’autorità di controllo.

La comunicazione all’Autorità Garante per la protezione dei dati personali dei dati di contatto del DPO designato, insieme al suo nominativo, si effettua attraverso l’apposita procedura online disponibile sul sito dell’Autorità, la quale rimane l’unica valida per l’invio, la variazione e la revoca dei dati di contatto del DPO.

Il Titolare dovrà poi pubblicare i dati di contatto del DPO sul proprio sito web e sugli altri canali di comunicazione, affinché tanto gli interessati (all’interno o all’esterno dell’organizzazione del Titolare/Responsabile del trattamento) quanto l’autorità di controllo possano contattare il DPO in modo agevole ed immediato, senza doversi rivolgere a un’altra struttura operante presso il Titolare/Responsabile.

A tal proposito, i dati di contatto vanno indicati sicuramente all’interno delle informative fornite agli interessati ed è altamente consigliato, anche dalle Linee guida del WP29, effettuare una comunicazione ufficiale della nomina del DPO a tutto il personale operante presso il Titolare/Responsabile del trattamento, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’organizzazione.

Ai sensi dell’articolo 37, paragrafo 2, del GDPR, “Un gruppo imprenditoriale può nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento”, valendo quindi le stesse considerazioni già svolte nel presente articolo, riguardo a risorse da mettere a disposizione del DPO ed agevole ed immediata raggiungibilità di quest’ultimo da parte dei soggetti interessati e dell’autorità di controllo.

Share this post

Related Posts

20Feb

Governance dei dati: cos’è e come applicarla in azienda

La Governance dei Dati è un elemento essenziale per le organizzazioni che devono gestire un crescente flusso di informazioni... Read more

Innovarion green
16May

Innovation Green

Per AGM Solutions, innovare significa creare un cambiamento positivo. La nostra forte propensione verso tutto ciò che può essere... Read more

09Nov

AGM Solutions presenta AGM Cyber Gate

AGM Solutions, da vent’anni nel mercato della cybersecurity, arricchisce la sua offerta con un nuovo servizio dedicato alla sicurezza... Read more

06Nov

DORA: Una guida al nuovo Regolamento per la Resilienza Operativa Digitale

L'Unione Europea ha introdotto il Regolamento DORA (Digital Operational Resilience Act), un quadro normativo mirato a rafforzare la resilienza... Read more

Metaverso
19May

Metaverso: l’analisi di AGM Solutions

AGM Solutions è da sempre attenta alle novità in campo tecnologico, e non poteva rimanere indifferente di fronte al... Read more

Cyversecurity_attacchi informatici 2022 e 2023
22May

11 attacchi informatici avvenuti fra 2022 e 2023

I cybercriminali non risparmiano nessuno e talvolta bastano pochi secondi per mettere a rischio il lavoro di anni. Lo... Read more

Password
02Sep

Meglio la password o altre forme di autenticazione?

Oggigiorno per compiere gran parte delle azioni online è richiesta l’autenticazione. Ma che cos’è? Perché è necessaria? Qual è il... Read more

12Jun

Google posticipa la cancellazione dei cookie di terze parti al 2025

Google ha annunciato un ulteriore rinvio della rimozione dei cookie di terze parti dal suo browser Chrome, spostando la... Read more

Certificazione UNI PdR 125:2022
11Jan

Abbiamo ottenuto la certificazione UNI/PdR 125:2022

Oggi siamo davvero orgogliosi di poter comunicare l’ottenimento della certificazione UNI PdR 125:2022 per la parità di genere. L’inclusività... Read more

17Sep

Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

Il già precario “scudo” del Privacy Shield che metteva al riparo da contestazioni i trasferimenti di dati fra l’Unione... Read more

en_GBEnglish (UK)
it_ITItaliano en_GBEnglish (UK)