La figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) è una delle principali novità introdotte dal Regolamento Europeo entrato in vigore nel 2018. Ecco quali sono le sue funzioni.
La figura del Data Protection Officer (DPO) - o Responsabile della Protezione dei Dati (RPD) - è una delle principali novità introdotte dal Regolamento Europeo, GDPR 16/679 entrato in vigore oramai quattro anni fa nel 2018. Ma quali sono le sue funzioni ai sensi dell’Art. 37 e 39 del GDPR? Un semplice consulente privacy o qualcosa di più?
Data Protection Officer (DPO) - Molto più di un semplice consulente
Sulla figura del DPO (o RPD, come dir si voglia) si è scritto e detto molto. La dottrina “privacysta” è densa al riguardo. Innanzitutto, c’è da specificare il fatto che il Data Protection Officer (DPO), nella sua veste di “consigliere” del titolare del trattamento, ovvero colui che definisce tecniche e modalità sulle operazioni del dato, è qualcosa di più di un mero consulente e i suoi compiti esulano un po’ da questa figura.
Il DPO sorveglia e consiglia appunto il titolare del trattamento sull’attuazione in ambito privacy, è un “super-consulente” volto a interfacciarsi anche con la Pubblica Autorità nazionale a fronte della precipua richiesta da parte della stessa. Gli articoli 37 e 39 del GDPR sono sicuramente esaustivi sui suoi compiti e soprattutto sulle modalità di nomina. La sua specializzazione infatti deve essere multidisciplinare e variegata, non può avere il solo know-how legale o tecnico giuridico, ma deve egualmente essere edotto sulla disciplina dell’informatica, ICT (i.e. Information Communication Technologies) e cybersicurezza.
Soprattutto quello del DPO è un servizio. Ma tra la miriade di consulenti che ci sono in un’azienda, a che cosa serve la figura del DPO? Invece di snellire le operazioni, non rischia di aggravare e appesantire l’azienda di un’ulteriore persona a libro paga della struttura? Il titolare del trattamento non potrebbe formarsi e fare da sé o quantomeno rivolgersi ad una figura già all’interno dell’azienda?
Data Protection Officer (DPO) - Il DPO può essere interno all’azienda?
In realtà nulla vieta a un’azienda la possibilità di nominare una figura già presente al suo interno in qualità di Data Protection Officer (DPO). L’importante è che questa figura non cada in un disturbante conflitto di interessi nell’espletamento della sua carica. Se la risorsa interna esiste, ha le qualità di cui sopra (ovvero una super-specializzazione), non ci sono motivi per cui il titolare del trattamento non dovrebbe rivolgersi a una risorsa interna all’azienda (come si dice in questi casi: “in house”).
Data Protection Officer (DPO) - A che cosa serve il DPO in un’azienda?
Ci stiamo dilungando, e non abbiamo ancora risposto alla domanda principale: a che cosa serve la figura del DPO in un’azienda? In primis, facendo riferimento proprio alla norma testuale dell’articolo 37 del GDPR, il DPO deve fornire un servizio. Lo cita testualmente. È qualcosa che si paga perché serve al titolare del trattamento/azienda. Citando l’art. 1, il GDPR disciplina la protezione delle persone fisiche in relazione ai loro dati. Il DPO è pertanto al servizio delle persone fisiche, quando i dati sono oggetto di trattamento.
Spesso la tutela delle persone fisiche sono rappresentate da una funzione d’impresa o da una funzione istituzionale di un Ente Pubblico. Può quindi essere inerente e coerente a finalità di impresa nonché a finalità di interesse pubblico. E il servizio del DPO entra in gioco in questo caso come forma di tutela della persona/e fisica/che.
Essendo poi un servizio, vien da sé che il DPO debba essere pagato per l’esecuzione dei suoi compiti. Non deve essere però un’imposizione fiscale, deve essere un asset, un valore aggiunto per l’azienda. Qualcuno a questo punto potrebbe obiettare che però di per sé il DPO non ha valore produttivo e non può essere un asset aziendale perché si adopera per terzi, ovvero i proprietari dei dati, gli interessati. Non avrà valore produttivo, questo è vero, ma sicuramente il DPO si inserisce in un meccanismo in cui il referente dell’azienda è l’azienda stessa. In questo senso può diventare un valore aggiunto, intersecandosi in questo difficile ingranaggio e diventando indispensabile al funzionamento della struttura. Con l’idea che il DPO non è un rappresentante del titolare/responsabile del trattamento, non è un consulente ma un manager indipendente.