fbpx

Il Data Protection Officer (DPO), chiamato in italiano Responsabile per la Protezione dei Dati, sembra ormai una figura non più ancestrale ma utile nel contesto aziendale per tenere sotto controllo i dati sensibili di persone fisiche, in particolar modo i processi che trattano questi dati.

Ma chi può essere un DPO ?

La norma non definisce delle lauree o determinati tipi di ordini o collegi a cui bisogna essere iscritti, anzi dice specificatamente che il DPO/RPD può essere chiunque, basta che abbia conoscenze avanzate della norma, oltre che conoscenze in ambito tecnico-informatico e giuridico. Ragionandoci un po’ si capisce bene che l’RPD sembra una mansione adatta ad avvocato o ingegneri informatici. In realtà navigando nel web si trovano moltissime offerte, tra le più disparate, di professionisti (o finti tali) che si definiscono DPO non avendo mai lavorato nel settore privacy o della sicurezza informatica. Quindi attenzione quando si sceglie il DPO, perchè in caso di sbagli, paga sempre il Titolare del Trattamento che lo ha scelto.

Ma chi è e cosa fa il DPO?

E’ praticamente la mano del Garante all’interno dell’azienda. E’ quella figura che aiuta il Titolare del Trattamento a iniziare il percorso di messa a norma verso il GDPR, analizzando i processi di acquisizione dei dati, in particolar modo ingresso ed uscita dei medesimi, per capire eventuali rischi e suggerire delle misure di sicurezza adeguate. Sembra di no, ma fare il DPO non è semplice, in particolar modo per quelle realtà ove i dati vengono trattati in modo complesso o quelle realtà che gestiscono categorie particolari di dati. Per esempio ecco alcuni compiti del DPO:

  • informare e e fornire consulenza al titolare, responsabile ed autorizzati al trattamento riguardo le norme definite nel GDPR;
  • sorvegliare la messa in pratica regolamento, e di altre nome definiti in ogni Stato membro
  • aiutare nello sviluppo della DPIA per l’analisi dei rischi sui dati;
  • cooperare con il Garante (per questo lo abbiamo definito la mano del Garante);
  • essere da punto di contatto per l’autorità di controllo e il titolare.

Chi è obbligato ad avere il DPO?

Le pubbliche amministrazioni sono obbligate ad averlo. Le aziende private invece solo se trattano dati su larga scala, anche se stiamo semplificando. Si consiglia di dare una letta a questo link diretto al sito del Garante per la Privacy, dove vengono definite diverse FAQ su chi deve normare l’RPD.

Che modulistica aiuta il DPO nel suo operato?

Logicamente la modulistica base è molto utile, in particolar modo il Registro dei Trattamenti. Tuttavia la mappatura dei processi aziendali, per esempio attraverso dei modelli di Use Case Diagram, potrebbero aiutare il DPO nell’identificare eventuali falle nella gestione dei dati. Oltre al Registro poi troviamo molto utile l’analisi e l’aggiornamento delle informative e delle nomine al trattamento. Devono essere disponibili anche dei registri in caso di data breach o gestione di password ed affini. Si consiglia anche la creazione di un registro dei consensi per esempio nel caso del marketing, ove registrare se il consenso è stato fornito o meno e la relativa data. Questo tipo di registro può essere omesso nel caso il software gestionale dell’azienda si basi sulla Privacy by Design/Default, molto utile per gestire in modo automatico i flussi dedicati al consenso.

DPO interno o esterno?

Il nostro consiglio è che l’RPD sia esterno, cosi da non avere conflitti di nessun tipo. Tuttavia la norma dice che può essere anche un interno, basta che possa avere indipendenza ed autonomia nei consigli, negli audit e in tutto il lavoro che deve svolgere. Ma soprattutto non deve avere dei conflitti, per esempio non deve avere altre cariche con le quali può trattare i dati sensibili. In questo caso dovrebbe sorvegliare se stesso, cosa praticamente invalidante della figura di DPO. Attenzione quindi alla scelta del DPO interno, un dipendente che già tratta dati sensibili o decide le modalità di trattamento, non può di sicuro essere un DPO. Per esempio segretaria, amministratori di sistema, amministrazione, son tutte figure che possono creare conflitto se scelte come RPD.

Consigli per il DPO/RPD:

  • Leggersi il Regolamento
  • Basarsi su una check list, per esempio questa
  • Avere conoscenza informatiche avanzate (sapere come funzionano i diversi tipi di backup, il disaster recovery, gli  antivirus, etc…)
  • Avere conoscenze legali, in particolar modo per tutte quelle norme nazionali extra GDPR (esempio le fotografie in luogo pubblico, etc..)
  • Essere sempre aggiornati, per esermpio iscriversi alla mailing list del Garante

Esistono diversi corsi online, fruibili ad un prezzo contenuto, che possono dare una prima mano ad un DPO in erba, per capire bene come muoversi all’interno di un’azienda.

Se vuoi essere in buone mani non ti resta che chiederci un preventivo, la nostra azienda può farti da RPD – DPO senza problemi, con tutta la strumentazione aggiornata ed adeguata a norma GDPR.