Come oramai noto a tutti il Data Protection Officer è una delle figure chiave per l’implementazione del Regolamento Generale sulla protezione dei dati (GDPR) nelle aziende e nelle Pubbliche Amministrazioni.
Ma cosa fa esattamente il DPO?
L’elenco delle attività sono riportate nell’articolo 39 del GDPR che assegna al DPO: compiti di natura ispettiva, consulenziale, interni all’organizzazione aziendale e compiti esterni.
Non è sempre facile però tradurre in operatività quanto previsto dalla normativa.
Vediamo, quindi, di seguito l’elenco dei compiti del DPO con qualche consiglio e suggerimento operativo da chi svolge questa carica per molte aziende.
Indice
Attività di informazione e consulenza
La prima delle funzioni attribuite dal legislatore al DPO è quella di consulenza e di informazione. Spetta quindi al DPO fornire consulenza ed informare tutto il personale del titolare sugli obblighi derivanti dal GDPR o da altre normative nazionali in materia di protezione dei dati. Egli è inoltre tenuto a fornire consulenza agli stessi nel caso in cui gli vengano posti dei quesiti in materia di privacy e gestione dei dati. Il DPO, quindi, viene presentato in una duplice veste: quella del consulente che supervisiona e interviene affinché venga rispettata la normativa vigente e quella di “insegnante” che istruisce e trasmette le proprie conoscenze ed esperienze ai dipendenti.
Per svolgere correttamente questo compito è innanzitutto fondamentale creare una modalità di gestione dei quesiti o “ticket” aperti dal titolare del trattamento e di cui il DPO si deve in qualche modo occupare.
Scegliete lo strumento che preferite: può essere un semplice file excel o dei “task” all’interno di Microsoft Teams o dei moduli di Google e condivideteli con il Vs. Referente privacy o con l’Ufficio Privacy del titolare così da avere sotto controllo l’attività.
In questo modo anche per il DPO sarà possibile monitorare l’apertura e chiusura dei quesiti e delle attività richieste, che quasi sempre comportano il coinvolgimento di più persone (es. fornitori terzi, Responsabile IT, oltre ovviamente il Referente o Ufficio Privacy).
Fondamentale è anche programmare degli incontri (in remoto o fisici) periodici con i Referenti Privacy o l’Ufficio privacy di allineamento sulle attività. L’appuntamento periodico nel tempo, porterà il Referente Interno a coinvolgere il DPO sempre più nelle attività dell’azienda e il DPO avrà modo di informarsi sull’andamento delle attività e lavorare sui ticket. Si consiglia di calendarizzarli a inizio anno per tutto l’anno, così da poter programmare le attività, ma soprattutto mantenere un contatto costante e diretto con il personale dell’azienda titolare, sulla periodicità, ovviamente, è difficile dare delle regole rigide dipenderà dalla complessità dell’organizzazione e dai trattamenti dati realizzati.
Sulla comunicazione delle novità della normativa vigente è bene provare a strutturare delle circolari da mandare a tutti i clienti per i quali siamo DPO, soprattutto per quelle novità legislative che si applicano a tutti o quasi (es. novità sul trasferimento dati extra UE, green pass, etc..). La stessa notizia spesso interessa più clienti e non sempre si riesce a fare degli invii personalizzati. Con una circolare unica si riesce comunque ad adempiere all’obbligo di informazione previsto dalla norma, rinviando poi a delle comunicazioni personalizzate o agli incontri programmati l’approfondimento dell’impatto della novità legislativa per quel titolare.
Attività di sorveglianza
In questo caso, il DPO ricopre la veste di controllore, con il compito di verificare l’operato del Titolare, evidenziando eventuali scorrettezze o migliorie.
Questa funzione può essere esplicata in diverse modalità. L’utilizzo di esami, o audit periodici, la raccolta di informazioni o autovalutazioni o la redazione di report.
Gli audit sono certamente l’attività più delicata, ma essenziale soprattutto per il rispetto del principio dell’accountability. Gli audit possono essere accompagnati dalla compilazione di check list di autovalutazione da parte del personale interno o anche da parte dei fornitori, ma che poi devono essere acquisiti e valutati del DPO anche in merito ad eventuali criticità emerse (es. non conformità alle procedure interne).
Rispetto agli audit, argomento complesso, si raccomanda di accompagnare il titolare anche nella fase successiva. Le “non conformità” o elementi di miglioramento che si individuano nell’audit stesso devono, infatti essere chiuse in un tempo congruo. Diversamente gli stessi controlli assumono scarso significato.
Infine una particolare attenzione alla programmazione delle attività del DPO.
Annualmente si consiglia di riferire in una Relazione al Titolare del trattamento (Consiglio di Amministrazione, Amministratore Unico, etc.) le attività svolte e, quindi, anche i risultati degli audit effettuati e pianificare già gli audit per l’anno successivo.
Attività di sensibilizzazione e formazione del personale
Il DPO, ha il compito di formare il personale che tratta i dati, mettendoli a conoscenza dei comportamenti da adottare e dei relativi rischi.
Come implementare una modalità di formazione del personale adeguata ed efficace dipenderà molto dall’organizzazione del titolare del trattamento?
Per alleggerire l’attività con molte aziende, più strutturate e numerose, in questo anni ho impostato delle formazioni miste attraverso video tutorial affiancate a formazione frontale. Per esempio, un video tutorial personalizzato sul titolare del trattamento viene fatto visionare a tutto il personale neoassunto con il superamento di un questionario di apprendimento, mentre vengono fatte sessioni di formazione frontale in aula o in webinar su settori specifici come Ufficio Risorse Umane e Uffici Marketing.
Abbiamo creato anche progetti meramente divulgativi per innalzare la sensibilità del personale su questi temi, come la diffusione di infografiche su argomenti specifici (es. data breach, uso di immagini e phishing).
Pareri sulla Valutazione d’Impatto (DPIA)
Se richiesto dal Titolare del trattamento, il DPO può fornire pareri in merito alla valutazione d’impatto della protezione dei dati e sorvegliarne l’adempimento, così come previsto dall’art. 35 del GDPR. La valutazione di Impatto rientra in quella attività necessarie per adempiere al principio della Privacy by design.
Il ruolo del DPO nelle Valutazioni di impatto, dovrà essere definito nella procedura dedicata alla DPIA.
Si consiglia, però, per ogni richiesta di redigere un “parere” che giustifichi la decisione di non svolgere la Valutazione di Impatto in maniera circostanziata rispetto alle indicazioni fornite dal Garante.
Si consiglia anche di creare un archivio dedicato (anche elettronico) con tutti i pareri e le DPIA, condividendo la cartella con l’ufficio privacy del Titolare del trattamento.
Gli incontri periodici indicati al punto 1, sono fondamentali per non perdere l’avvio di nuovi progetti da parte dei Titolare senza l’analisi della necessità di DPIA.
Attività di cooperazione con l’Autorità di controllo
Secondo l’articolo 39 del GDPR, il DPO funge da punto di contatto con l’Autorità di controllo per le questioni connesse al trattamento di dati personali. Ciò significa che il Garante potrà consultare in qualunque momento il DPO, ed egli sarà obbligato a fornire al Garante qualunque informazione o chiarimento riguardo i trattamenti di dati personali effettuati dal Titolare o dal Responsabile del trattamento.
Questa attività, che per certi versi è quella più semplice, può diventare molto complicata se non si è istituito un sistema di raccordo con il titolare adeguato all’organizzazione e se non si è individuato un sistema di archiviazione e gestione degli adempimenti GDPR e della documentazione efficace.
* * *
Un’ultima considerazione generale merita di essere fatta.
Non tutti i Titolari del trattamento sono uguali, divergono come Trattamenti di dati, organizzazione, personale, etc. anzi è più facile avere una estrema varietà di situazioni.
Un buon DPO deve differenziare le attività di cui sopra applicando, come richiesto dal GDPR il cosiddetto approccio basato sul rischio e, quindi considerare, nell’esecuzione dei propri compiti, i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. Questa è una disposizione con la quale si chiede al DPO di definire un ordine di priorità nell’attività svolta e di rivolgere un’attenzione prioritaria alle questioni che presentino i rischi più elevati in termini di protezione dei dati, senza ovviamente trascurare gli ulteriori trattamenti caratterizzati da rischi più bassi.
Per consigli su come scegliere il DPO, cliccate qua. mentre se volete partecipare ad un percorso di approfondimento su questi temi in programma per l’autunno il Master di Sharecom.