La figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) è una delle principali novità introdotte dal Regolamento Europeo, GDPR 16/679 entrato in vigore oramai quattro anni fa nel 2018.
Ma quali sono le sue funzioni ai sensi dell’Art. 37 e 39 del GDPR? Un semplice consulente privacy o qualcosa di più?
Si è scritto molto sulla sua figura e la dottrina privacysta è densa a suo riguardo. Innanzitutto, c’è da specificare il fatto che egli nella sua veste di “consigliere” del titolare del trattamento, ovvero colui che definisce tecniche e modalità sulle operazioni del dato, è qualcosa di più di un mero consulente ed i suoi compiti esulano un po’ da questa figura.
Il DPO sorveglia e consiglia appunto il titolare del trattamento sull’attuazione in ambito privacy, è un super-consulente volto ad interfacciarsi anche con la Pubblica Autorità nazionale a fronte della precipua richiesta da parte della stessa. Gli articoli 37 e 39 del GDPR sono sicuramente esaustivi sui suoi compiti e soprattutto sulle modalità di nomina. La sua specializzazione infatti deve essere multidisciplinare e variegata, non può avere il solo know-how legale o tecnico giuridico, ma deve egualmente essere edotto sulla disciplina dell’informatica, ICT (i.e. Information Communication Technologies) e cybersicurezza. Ma soprattutto quello del DPO è un servizio.
A questo punto è lecita la domanda: Ma in realtà tra la miriade di consulenti che un’azienda ha a che cosa serve questa nuova figura? Invece di snellire le operazioni non aggrava ed appesantisce l’azienda di un’ulteriore persona a libro paga della struttura? Il titolare del trattamento non potrebbe formarsi e fare da sé o quantomeno rivolgersi ad una figura già all’interno dell’azienda?
Facendo riferimento all’ultimo quesito posto, in realtà, nulla vieta ad un’azienda la possibilità di nominare una figura già presente all’interno della stessa quale DPO. Importante che questa però non cada in un disturbante conflitto di interessi nell’espletamento della sua carica. Se la risorsa interna esiste ed ha le qualità di quanto sopra, ovvero una super-specializzazione, l’azienda ed il titolare del trattamento possono serenamente decidere di rivolgersi, appunto, ad una figura “in house”.
Ci stiamo dilungando e non abbiamo ancora risposto alla domanda principale ossia a cosa serve la figura del DPO in un’azienda.
In primis facendo riferimento proprio alla norma testuale dell’articolo 37 del GDPR, il DPO deve fornire un servizio. Lo cita testualmente. È qualcosa che si paga perché serve al titolare del trattamento/azienda. Il GDPR citando l’art. 1 disciplina la protezione delle persone fisiche in relazione ai loro dati. Il DPO è pertanto al servizio delle persone fisiche, quando i dati sono oggetto di trattamento. Spesso la tutela delle persone fisiche è rappresentata da una funzione d’impresa o da una funzione istituzionale di un Ente Pubblico. Può quindi essere inerente e coerente a finalità di impresa nonché a finalità di interesse pubblico. Ed il servizio del DPO entra in gioco in questo caso come forma di tutela delle persone fisiche. Essendo poi un servizio, vien da sé che il DPO debba essere pagato per l’esecuzione dei suoi compiti in materia di tutela del dato per quanto riguarda le persone fisiche.
Questa non deve essere però un’imposizione fiscale. Deve essere un asset, un valore aggiunto per l’azienda.
Qualcuno a questo punto potrebbe obiettare che il DPO non ha valore produttivo e non può essere un asset aziendale perché si adopera per terzi, ovvero i proprietari dei dati, gli interessati. Non ha valore produttivo, questo è vero, ma sicuramente la sua figura si inserisce in un meccanismo in cui il referente dell’azienda è l’azienda stessa. In questo senso può diventare un valore aggiunto, intersecandosi in questo difficile ingranaggio e diventando indispensabile al funzionamento della struttura. Con l’idea che il DPO non è un rappresentante del titolare/responsabile del trattamento, non è un consulente ma un manager indipendente.
A cura di:
Amedeo Leone | Security Consultant