info@aksiliagroup.com
+39 347 5748387
+39 02 40703351

Dpo: esterno o interno? Come identificare le competenze necessarie secondo il Gdpr

Dpo: esterno o interno? Come identificare le competenze necessarie secondo il Gdpr

Il Data protection officer (Dpo) è una figura chiave individuata dal regolamento europeo Gdpr. Si tratta di una sorta di supervisore che assicura la corretta gestione dei dati personali nelle imprese e negli enti pubblici. Il suo è un ruolo di snodo all’interno delle aziende in quanto collabora con l’IT e si confronta sulle questioni della sicurezza connesse al trattamento dei dati personali.

La primissima cosa da sapere, prima di far ricadere la scelta su una figura interna o esterna, è l’obbligatorietà della nomina nel caso in cui il trattamento delle informazioni sia svolto da un ente pubblico o da imprese per cui l’attività principale è il trattamento o il monitoraggio di dati personali. Stessa cosa nel caso in cui di mezzo ci siano i dati sanitari o quelli di profilazione per finalità di marketing. In ogni caso la nomina del Dpo – esterno o interno che sia – è consigliata per tutte le aziende alle prese con attività di trattamento dei dati personali che potrebbero comportare rischi per le libertà e i diritti degli interessati.

Dpo violazione di sicurezza

Punto di partenza è l’indipendenza del Dpo. Deve essere una figura al di sopra delle parti, esperto in materia. Ancora più precisamente, per il regolamento Gdpr, “il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Questa figura racchiude quindi una serie di competenze che vanno al di là della conoscenza della normativa. Pensiamo a quelle tecniche di sicurezza, alle competenze legali e alle capacità organizzative e di gestione dei processi tecnologici. Ecco dunque che nell’individuazione del Dpo occorre puntare su una figura in grado di formulare un’offerta sulla base della reale conoscenza dell’azienda, delle sue dimensioni (numero di dipendenti e di persone che trattano i dati personali, presenza di una o più sedi, numero di fornitori e di clienti) e delle caratteristiche ovvero del problema da gestire.

Solo in questo caso si ha una maggiore sicurezza che il servizio non sia solo formale ovvero non si limiti alla dimostrazione di aver nominato il Dpo e comunicato la decisione all’autorità di controllo. Ma che possa realmente erogare i servizi in maniera precisa e compiuta. Individuato il Dpo che risponde in maniera compiuta ai requisiti richiesti, è consigliabile fare sottoscrivere un contratto pluriennale per dare continuità al servizio ed evitare di ridurre il livello di efficienza.

In estrema sintesi, la scelta del Dpo non va improvvisata per via dell’attività che svolge, ma anche per la doppia funzione che ricopre di controllo e di consulenza.

Meglio un Dpo esterno o interno per il trattamento dei dati personali?

Ciascuna azienda si trova dunque davanti a un bivio: scegliere un Dpo interno ovvero un proprio dipendente oppure uno esterno tra un professionista o una società? La decisione non è scontata e tiene conto di una serie di fattori. La competenza innanzitutto perché, come abbiamo spiegato, il Dpo è una figura multidisciplinare. Allo stesso tempo è indispensabile che conservi la propria indipendenza nella fase consulenziale.

Qui entra infatti in gioco una questione che mette le aziende – soprattutto micro e Pmi – dinanzi a una difficoltà aggiuntiva: il conflitto di interessi. Che prende forma nel momento in cui la decisione da prendere è tra quello che si deve fare per il corretto trattamento dei dati e quello che si potrebbe fare per l’interesse dell’azienda nonostante le norme vigenti. Il Dpo interno può essere davvero indipendente?

In ogni caso, il ruolo di Data protection officer può essere ricoperto anche da un team che fa capo a un referente (se soggetto interno) o a una persona giuridica (se soggetto esterno). Dal punto di vista formale, nel caso in cui la scelta ricada su Dpo interno occorre un atto di designazione. In caso contrario ovvero di scelta di un Dpo esterno bisogna invece operare in base a un contratto di servizi. In tutti i casi è indispensabile elencare compiti e risorse, così come strumenti e poteri.

Cosa fa un Dpo in caso di violazione di sicurezza dei dati aziendali

Proviamo allora a occuparci di un caso concreto ovvero della violazione di sicurezza ovvero di un data breach. Come deve comportarsi un Dpo, esterno o interno che sia? In prima battuta, il Data protection officer deve essere subito informato dell’accaduto. A quel punto è chiamato a supportare il titolare o il responsabile nella valutazione della gravità della violazione dei dati personali.

In pratica analizza la natura delle informazioni esposte ovvero la distruzione, la perdita, la modifica, la divulgazione non autorizzata. Dopodiché scatta l’eventuale cooperazione con il titolare o il responsabile per notificare al Garante e agli interessati la violazione dei dati personali. Infine, ma solo nel caso in cui non sussistano i presupposti di notifica, il Dpo coopera con il titolare o il responsabile per la registrazione del data breach all’interno di un documento con la valutazione delle misure di sicurezza da implementare per evitare che si verifichi di nuovo.