La figura del D.P.O. (Responsabile della Protezione Dati)


La figura del D.P.O. (Responsabile della Protezione Dati)

(Adnkronos) - Milano, 22 Giugno 2022. “Se installo un localizzatore GPS sulla flotta aziendale devo adeguarmi a qualche norma specifica?”; “Il consulente paghe ci manda i cedolini dei dipendenti come allegati mail in chiaro, va bene?”; “È stato rubato un pc in azienda ma non sappiamo se dobbiamo notificarlo al Garante…”;“Per un caso di omonimia, i dati particolari di un interessato sono stati inviati ad un altro soggetto” 

Tutti dubbi e domande lecite che Giuseppe, Luisa o Mario, titolari di aziende, si pongono di fronte alla gestione dei dati personali che si trovano ad affrontare quotidianamente. Ragionamenti corretti che spesso si aggiungono come contorno al resto delle attività svolte e che, anche giustamente, non rientrano nelle competenze di base di questi soggetti. 

Quesiti che troverebbero risposte se l’azienda avesse deciso di nominare un DPO -Responsabile della Protezione dei Dati (ovvero D.P.O. – Data Protection Officer), che ricordiamo essere obbligatorio quando: 

- Il trattamento è effettuato da autorità o organismo pubblico; 

- Le attività principali del titolare riguardano il monitoraggio su larga scala degli interessati; 

- Le attività principali del titolare consistono nel trattamento su larga scala di dati particolari. 

Se poi anche un titolare del trattamento, che non rientra nelle fattispecie che abbiamo appena visto, volesse nominarne uno per sua tutela, nessun problema, in ottica di accountability e privacy by design sarà valutato positivamente in caso di ispezione delle Autorità. 

Il DPO come parte del Team privacy  

È bene sottolineare che la figura del D.P.O. non dovrebbe essere prevista solo a livello formale, esclusivamente per rispondere alla normativa, come una sorta di “flag” per dire che l’azienda è GDPR compliant. Se c’è sfruttiamolo, chiamiamolo in causa per ogni dubbio legato a trattamenti di dati personali, è pagato per questo e mette a disposizione l’esperienza e la conoscenza in materia con lo scopo di anticipare problemi derivanti da trattamenti illeciti e conseguenti reclami e/o sanzioni. 

Pensate, ad esempio, alla pandemia di Covid-19, un evento eccezionale non previsto che ha creato il caos legato ai controlli Green Pass, gestito in alcuni casi da consulenti privacy improvvisati come RSPP, commercialisti o medici del lavoro….Chi meglio del DPO per dare una mano alle aziende nel districarsi tra norme non sempre chiare a tutti, decreti emanati nottetempo, botta e risposta tra Governo e Garante per trovare una linea uniforme che conciliasse privacy e contenimento del Coronavirus. 

A volte il suo ruolo è quello di “punzecchiare” il titolare per verificare se è in linea con gli adempimenti richiesti, altre di consigliarlo su decisioni da prendere per l’introduzione di un nuovo software o dispositivo di backup… Insomma, va inteso come una guida che illumina il sentiero per non far incappare in crepacci o vicoli ciechi, poi sarà comunque il titolare a fare le sue considerazioni e prendere la decisione finale, nel bene o nel male. 

Per l’autonomia che lo contraddistingue non riceve istruzioni e non può essere rimosso dal titolare semplicemente perché le due visioni non sono allineate, fornisce consulenza, esprime pareri in merito alla realizzazione di una valutazione d’impatto (DPIA), forma e informa i soggetti autorizzati, collabora con le Autorità e funge da punto di contatto tra le parti in causa attraverso una mail dedicata che viene notificata al Garante e riportata su informative e canali di comunicazione del titolare.  

Situazione Italia  

Alla fine del primo trimestre del 2021 si registravano quasi 60.000 comunicazioni di contatto DPO al Garante che, in molti casi, hanno collaborato ai circa 27.000 episodi (il 10% sul totale UE) di segnalazioni e reclami. Basso invece il dato relativo alle notifiche di violazione di dati personali, meno di 3.900 a fronte delle 280.000 effettuate negli Stati membri, preoccupante se paragonato a quello di Stati più piccoli dell’Italia quali l’Olanda. 

Non dimentichiamo che segnalare un evento negativo è un obbligo del titolare del trattamento e, al contrario di quanto si possa pensare, l’Autorità nazionale è attiva e vigile sul fronte delle ispezioni con relative sanzioni. Al momento siamo al secondo posto in UE per numero di multe irrogate e al quarto per somme totali. 

Se c’erano ancora dubbi sull’utilità, per obbligo o meno, della nomina di un DPO è venuto il momento di agire. 

Responsabilità editoriale: TiLinko – Img Solutions srl