Scelta del DPO: i tre maggiori errori 2


Hits: 1289

Quali sono gli errori da evitare nella scelta del DPO? Ecco la risposta per evitare i tre errori più ricorrenti.

 

Siamo oramai a ridosso della piena entrata in vigore del Regolamento Europeo 2016/679 sulla protezione dei dati personali.

Come è naturale che sia, molte strutture ed enti si accingono all’individuazione e la nomina del DPO, Data Protection Officer o Responsabile della Protezione dei Dati.

Alcuni enti ci hanno chiesto un contributo nella valutazione delle scelte in corso di attuazione. Questo ci ha permesso di notare che ci sono alcuni errori ricorrenti che hanno un impatto pregiudizievole nella scelta del DPO.

Bisogna infatti ricordare che la mancata o non adeguata scelta del DPO può comportare una sanzione piuttosto considerevole, ma, soprattutto, può rendere vani tutti gli sforzi messi in atto per essere a norma rispetto al Regolamento UE.

Proprio questo è il primo punto da comprendere: il DPO rappresenta la credibilità del “sistema privacy” che il Titolare del trattamento dei dati mette in atto. Un DPO non adeguato rende tutto il sistema non adeguato.

Proprio per evitare errori che possano minare l’intero sistema privacy, abbiamo deciso di riportare la nostra esperienza evidenziando i tre errori più ricorrenti nella scelta del DPO.

  1. Conflitto di Interesse
  2. Competenze
  3. Autonomia

Il conflitto di interessi

L’errore più frequente riscontrato nell’individuazione del DPO riguarda proprio l’incompatibilità del ruolo di DPO rispetto ad altri ruoli ricoperti nei confronti del Titolare del trattamento dei dati.

Contrariamente a quanto si possa pensare, questo aspetto si verifica non solo per DPO scelti all’interno dell’ente, ma anche per DPO scelti esternamente all’ente, per esempio attraverso un contratto di servizi.

Ma vediamo nel dettaglio di comprendere cosa si intenda, nello specifico, per conflitto di interesse.

L’articolo 38, paragrafo 6 recita: “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Quindi, il DPO può svolgere altri compiti, ma il Titolare del trattamento dei dati personali deve essere certo (si assicura) e documentare che gli stessi compiti siano compatibili con la funzione del DPO.

Questo aspetto è molto delicato nella sua soluzione.

Per comprendere a fondo, bisogna partire dalla motivazione che porta al requisito di assenza di conflitto di interesse.

Il DPO è una figura ‘super partes’ che, secondo l’articolo 39 paragrafo b, è incaricato di “sorvegliare l’osservanza del […] regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

Pertanto, al DPO è chiesto di ‘sorvegliare’ sulla osservanza e corretta applicazione del Regolamento UE: questo spiega la necessità del requisito sull’assenza di conflitto di interesse.

Qualora il DPO svolga altri compiti soggetti alla ‘sorveglianza’ del DPO stesso, la sua pozione risulta evidentemente incompatibile in quanto ‘controllore e controllato’ coincidono.

In generale, risultano in conflitto di interesse con il ruolo di DPO quelle figure che:

  • Hanno potere decisionale sull’organizzazione, in quanto possono determinare le finalità o le modalità del trattamento dei dati
  • Effettuano un trattamento di dati personali, in quanto lo stesso trattamento è soggetto a sorveglianza del DPO
  • Attuano le misure di sicurezza sui dati, in quanto le stesse sono oggetto della sorveglianza
  • Sono responsabili esterni del trattamento, in quanto anch’essi soggetti alla sorveglianza
  • Sono interessati del trattamento, in quanto parte in causa nel trattamento dei dati personali
  • Hanno un interesse evidente nella mancata attuazione del Regolamento.

Dalle considerazioni fatte, vanno sicuramente esclusi dalla nomina di DPO:

  • Lo stesso Titolare del trattamento
  • I dirigenti e coloro che riscoprono un ruolo decisionale sull’organizzazione, anche se non effettuano in modo diretto un trattamento di dati
  • Tutti coloro che sono autorizzati al trattamento dei dati
  • Tutti coloro che sono chiamati ad attuare misure di sicurezza sui dati (es. fornitori e consulenti di hw o sw, installatori, ecc.)
  • I responsabili esterni del trattamento (es. consulenti vari, commercialista, fornitori di data service, ecc.)
  • Consulenti privacy (proprio perché, insieme al Titolare, prendono parte alla definizione delle modalità del trattamento ed alle relative definizioni delle misure di sicurezza)

Come è possibile verificare, la schiera di incompatibilità è piuttosto nutrita e questo spiega in parte la frequenza elevata di DPO che presentano incompatibilità.

La nostra speranza è di aver contribuito a rendere meno critico il percorso di individuazione del DPO ed evitare almeno questo errore.

Per dubbi o richieste potete lasciare un commento alla fine di questo articolo o scrive direttamente a presidenza@unilavoro.org

 

Nei prossimi articoli tratteremo le altre due casistiche legate alle competenze ed autonomia, cercando di mettere in evidenza quali aspetti valutare per essere compliant verso il Regolamento UE.

 

Precedente articolo sul tema


Lascia un commento

2 commenti su “Scelta del DPO: i tre maggiori errori