Obbligo o opportunità? La nomina del DPO come elemento di crescita

Della figura del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO) abbiamo parlato più volte approfondendo l’iter da seguire per la comunicazione del suo nominativo al Garante privacy, il tema delle competenze che deve possedere, i chiarimenti forniti dal Garante per le PA, le Linee guide pubblicate dal WP29 nel 2017, la questione della posizione del DPO nell’organizzazione aziendale e del conflitto di interessi.

È bene qui ricordare che la nomina del DPO da parte del titolare o del responsabile del trattamento è obbligatoria solamente nei casi indicati dall’art. 37 GDPR, ma può essere una scelta opportuna e vincente per il rispetto del principio di accountability, così da contribuire a dimostrare la compliance della propria organizzazione alla disciplina privacy.

Questo contributo si riflette nei compiti che il GDPR assegna al DPO e che sono elencati all’art. 39:

  1. informare e fornire consulenza al titolare o al responsabile del trattamento, nonché ai relativi autorizzati, in merito agli obblighi derivanti dal GDPR nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 GDPR;
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Per poter eseguire i compiti che gli sono assegnati, è imprescindibile che il DPO conosca la realtà organizzativa del titolare (o del responsabile) che lo ha designato, così da approfondire l’attività caratteristica, il ciclo di vita dei dati personali, il ruolo dei soggetti coinvolti ed ogni profilo connesso o collegato.

Va da sé che, per poter adempiere ai propri compiti, il DPO debba essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, come precisa l’art. 38 GDPR, così da poter considerare ogni aspetto del trattamento – natura, ambito di applicazione, contesto e finalità -, valutare i rischi del trattamento stesso e consigliare in modo adeguato l’organizzazione, sempre in totale indipendenza e autonomia rispetto alle scelte di business aziendale.

I compiti del DPO si potrebbero far rientrare in due categorie. Se quelli di tenere i rapporti con l’autorità di controllo, consigliare riguardo la valutazione di impatto e sorvegliare sull’osservanza del GDPR si possono definire – se vogliamo – compiti “tecnici” o “istituzionali”, diversamente i compiti di informare e fornire consulenza si potrebbero definire compiti consulenziali, multidisciplinari e trasversali.

Di qui la riflessione circa la posizione del DPO, in particolare del DPO individuato all’esterno dell’organizzazione, o meglio circa la relazione che lega il DPO e l’organizzazione che lo ha nominato, per obbligo di legge o per l’opportunità di garantire – in termini di accountability – la compliance privacy. 

Fin dalla lettura dell’art. 37 GDPR si comprende che l’attività del DPO non può limitarsi a un’attività di supervisione e controllo, ma deve spingersi oltre: tendere ad un rapporto di fiducia che permetta di costruire una relazione di supporto decisionale e operativo e, infine, di creare e trasmettere valore – talvolta anche in ambiti non necessariamente limitati alle questioni che riguardando il trattamento di dati personali.

Questo può accadere tutte le volte che il DPO diventa parte integrante di una rete, interna ed esterna all’organizzazione, che gli permette non solo di collaborare per abbattere i rischi di sanzioni per l’eventuale scorretto trattamento di dati personali, ma anche di dare il proprio contributo migliorando la conoscenza che ha il titolare del proprio modello organizzativo, approfondendo i processi aziendali, individuando nuovi potenziali profili o modelli di business basati sui dati (personali o non).

La figura del DPO può diventare, infine, un tassello di crescita.

Facebook
Twitter
LinkedIn
WhatsApp
Dopo aver conseguito il diploma di laurea presso l’Università degli Studi di Trento, l’avvocato Maddalena Collini si è occupata di diritto fallimentare, specializzandosi poi

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?