SERVIZIO DI RESPONSABILE DELLA PROTEZIONE DEI DATI O DATA PROTECTION OFFICER (RPD-DPO)
Il Prof. Avv. Fabio Di Resta ed il personale interno dello studio ricopre l’incarico di RPD per conto di primari gruppi ospedalieri, Residenze Sanitarie Assistenziali, enti pubblici, società a partecipazione pubblica e società private. Il servizio altamente qualificato di RPD coinvolge anche i professionisti dello Studio che abbiano maturato esperienza di almeno 5 anni e un’adeguata conoscenza della normativa e delle migliori prassi di gestione dei dati personali. Al fine di tutelare al meglio i clienti, infatti, appare necessario trovare il giusto bilanciamento tra due requisiti legali entrambi rilevanti per la normativa di settore: lo Stato dell’Arte delle misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati e i Costi di Attuazione necessari per realizzare e gestire tali misure di sicurezza. I professionisti, come richiesto dalla normativa, adempiono a tale funzione in piena indipendenza e in assenza di conflitti di interesse.
QUALI SONO I COMPITI DEL DPO?
I compiti essenziali del Data Protection Officer sono definiti dall’art. 39 del Regolamento europeo, si possono sintetizzare come segue, deve essere un consulente qualificato ed indipendente tenendo informato il titolare o il Responsabile del trattamento sulle novità normative in materia di protezione dati, fornire pareri anche in ordine alla conformità della Valutazione di Impatto, deve sorvegliare l’osservanza della normativa, pertanto, dovrà quantomeno pianificare e/o validare gli audit di conformità normativa e piani formativi e di sensibilizzazione del personale. Svolge, inoltre, il ruolo di punto di contatto con l’Autorità di controllo ed ha l’obbligo di cooperare con la stessa. Oltre questi compiti, il DPO deve verificare che il sistema di gestione della protezione dei dati sia in grado di garantire l’esercizio effettivo dei diritti degli interessati e che lo stesso sia in grado di dimostrare (c.d. accountability) che le scelte organizzative e tecniche siano conformi alla normativa applicabile. Infine, sempre in estrema sintesi il DPO è un facilitatore rispetto al vertice dell’organizzazione, da una parte dovrebbe essere in grado di comprendere l’innovazione tecnologica ivi incluse le nuove soluzioni relative all’intelligenza artificiale che sempre più diventeranno inevitabili per le imprese e le pubbliche amministrazioni, dall’altra dovrebbe certamente illustrare i rischi specifici inerenti alle natura dei dati trattati e al contesto del trattamento, accompagnando le organizzazioni nella corretta gestione dei rischi evitando che tali rischi abbiano effetti negativi diretti sui diritti e le libertà fondamentali degli interessati.
QUALI SONO I REQUISITI DEL RPD O DPO?
Il Responsabile della protezione dei dati deve possedere grado di professionalità adeguato alla complessità del compito da svolgere, pertanto, deve avere una buona conoscenza della tipologia di organizzazione e settore nel quale la stessa opera, deve inoltre, essere in grado di erogare la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve certamente essere in grado di valutare i rischi inerenti al trattamento dei dati della specifica organizzazione, ed è per questo che spesso le stazioni appaltanti e le organizzazioni chiedono come requisito per ricoprire tale incarico di aver ricoperto il ruolo di RPD per alcuni anni in organizzazioni analoghe.
COME POSSO DESIGNARE UN RPD O DPO?
Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno. In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali che comportano la determinazione delle finalità e le modalità del trattamento.
Più nello specifico, le indicazione delle Autorità preposte chiariscono che mentre gli incarichi di alta direzione (p.e. amministratore delegato, membro del Consiglio di amministrazione, direttore generale, ecc., ecc.) e ruoli che determinano le finalità e le modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc., ecc.) possono presentare conflitti di interessi, l’assegnazione dell’incarico del Data Protection Officer potrebbe anche riguardare le “funzioni di staff” come per esempio i responsabili delle funzioni legali, stando alla definizione mutuata da altri ambiti il criterio delle “funzioni di staff” sarebbe da intendersi come funzione di supporto ai processi decisionali e che forniscono quindi consigli e suggerimenti ad altre unità organizzative.
Tale criterio indicato dal Garante sembra essere molto interessante e sarà certamente impiegato prontamente da parte dei soggetti pubblici e privati che intendano designare internamente la figura dal Data Protection Officer, stante i numerosi dubbi emersi con riguardo al conflitto di interessi che caratterizza tale figura e che limita la designazione all’interno dell’organizzazione.
Infine, il Data Protection Officer potrà anche essere una persona giuridica (p.e. le società di capitali), in tal caso con riferimento al più generico criterio di “organizzazione”, che come è noto ricomprende non solo le persone giuridiche ma anche gli enti ad esso assimilabili, occorre che sia specificata la persona incaricata che svolgerà tale funzione per conto del cliente. Tuttavia, in questo contesto la persona giuridica dovrà individuare un referente per tale ruolo.
Elenco dei servizi offerti
- Tutti i compiti previsti dalla normativa di settore concernenti il Servizio di Responsabile della protezione dei dati o Data Protection Officer per organizzazioni complesse e più semplici, dal settore sanitario, alle pubbliche amministrazioni centrali e locali, alle Casse di previdenza nazionale, agli Ordini professionali, alle Università, ai servizi digitali, agli Internet Service Provider, alle società di servizi tecnologici e ai servizi digitali, alla grande distribuzione, al settore automotive.
- Valutazione dei rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità.
- Collaborazione con il titolare o responsabile del trattamento e supporto per ogni attività connessa al trattamento di dati personali.
- Condivisione con il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, degli obblighi derivanti dal GDPR e da altre disposizioni in materia di protezione dei dati.
- Contatto con il Garante su ogni questione connessa al trattamento.
- Pianificazione di GDPR audit.
- Pianificazione di formazione in ambito protezione dati personali del personale dipendente.
Area approfondimento
Di Resta F., Gdpr, la scelta del DPO: compiti e requisiti, Digital 360, Digital 360, Pubblicato il 16 Gen 2018, https://www.agendadigitale.eu/compiti-dpo.
Di Resta F., “GDPR, scegliere il responsabile trattamento dati: interno o esterno all’azienda?”, Digital 360, 28 febbraio 2018, https://www.agendadigitale.eu/sicurezza/privacy/gdpr-scegliere-responsabile-trattamento-dati-ce-sapere/
Di Resta F, “Gdpr, come dev’essere il DPO (Data Protection Officer): lo spiega il Garante Privacy”, Digital 360, Pubblicato il 29 Mar 2018, https://www.agendadigitale.eu/sicurezza/gdpr-come-devessere-il-dpo-data-protection-officer-lo-spiega-il-garante-privacy/.
Di Resta F., “DPO e trattamento dati sulla salute, gli effetti del provvedimento del Garante” Digital360, Pubblicato il 02 Apr 2019, https://www.agendadigitale.eu/sanita/dpo-e-trattamento-dati-sulla-salute-gli-effetti-del-provvedimento-del-garante/.
“Data protection, cybersecurity, intelligenza artificiale. Aggiornato con l’analisi della nuova normativa sul whistleblowing”, curato da Fabio Di Resta, Duepuntozero editrice, luglio 2024.