Chi è e che cosa fa il Data Protection Officer
Tra i tanti professionisti addetti alla sicurezza informatica e alla gestione delle privacy, il Data Protection Officer (DPO) è una figura ambigua, nel mezzo tra coloro che verificano la conformità delle imprese e a chi distribuisce consigli manageriali. Il responsabile della protezione dei dati (in italiano RPD) è una professionista che deve essere in qualche modo versato nelle questioni legali, nella gestione ed avere delle competenze tecniche in materia di sicurezza informatica.
Ma facciamo un passo indietro: perché la figura del DPO si è resa necessaria? In Europa il concetto di DPO nasce dalla legge di protezione dei dati tedesca del 1977 (BDSG), che introduce una figura precorritrice, simile a quella del Data Protection Officer. Negli anni il ruolo di DPO viene largamente impiegato da altri Stati membri, finché, nel 1995, la Comunità Europea pubblica la direttiva sulla protezione dei dati, che trattava in particolare della protezione e dell’elaborazione dei dati personali degli individui e del movimento di questi dati. Seguì una serie di approcci differenti e Stati quali Austria e Francia introdussero il ruolo del Data Protection Officer nella legislatura nazionale. Allora i compiti del DPO erano limitati al controllo dell’applicazione delle norme nazionali nelle imprese e l’aggiornamento di un registro delle operazioni di trattamento eseguite.
Il 2016 fu un anno cruciale per la protezione dei dati: era infatti l’anno in cui il Parlamento e il Consiglio europei emanarono la direttiva 2016/680 sui reati penali e il GDPR sulla protezione dei dati personali. Il GDPR, come vedremo in questo articolo, fornisce alcune linee guida sulle competenze, la nomina e i compiti del DPO, ma non si può dire che siano esaustive. Per aiutare enti e imprese nell’interpretazione della legislatura europea in materia di protezione dei dati personali, il Gruppo dell’articolo 29 per la tutela dei dati – meglio conosciuto come Art. 29 WP o WP29 – scrisse e pubblicò le linee guida sulla figura del Data Protection Officer, riviste e poi adottate nell’aprile 2017. In seguito all’adozione del GDPR, l’EDPB (European Data Protection Board), diede l’appoggio a queste linee guida nel maggio 2018.
> Scopri il corso Privacy e GDPR
Quando è necessaria la nomina del DPO
Il GDPR garantisce al DPO un ruolo piuttosto importante nel sistema di gestione dei dati. Rispetto ai compiti e alle funzioni che gli vengono assegnati, il DPO deve essere considerato un professionista che non solo assiste il titolare e il responsabile del trattamento nell’implementazione corretta dei requisiti per la protezione dei dati, ma che fa anche da mediatore tra interessati, titolari, responsabili e garante per la privacy.
Il preciso ambito di azione e i dettagli del ruolo del DPO dipenderanno poi dalla dimensione e dalla complessità dei dati aziendali. La nomina del DPO spetta al titolare e/o al responsabile del trattamento dei dati, ed è obbligatoria quando:
- “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”. Il Regolamento non fornisce una definizione di “autorità pubblica o organismo pubblico” e lascia agli Stati membri la facoltà di decidere quali organizzazioni, enti o istituzioni includere in questa categoria. In Italia, secondo il Garante, sono autorità pubbliche: le amministrazioni statali, le Regioni e gli enti locali, le università, le camere di commercio, industria, artigianato e agricoltura, le autorità indipendenti e le ASL.
- “Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.” Le attività principali possono essere considerate come le operazioni chiave per raggiungere gli obiettivi di protezione dei dati del titolare o del responsabile del trattamento, ad esempio il monitoraggio e la profilazione degli utenti per la pubblicità online.
- “Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”. I dati personali sono trattati come appartenenti ad una categoria speciale quando includono informazioni sensibili particolarmente significative per gli interessati, la cui divulgazione potrebbe avere un impatto significativo sui loro diritti e le loro libertà. Le categorie particolare includono dati quali, ad esempio: il credo religioso, opinioni politiche, dati genetici e biometrici, identità o orientamento sessuale.
> Scopri il nostro servizio di consulenza in Data Protection Compliance
Che cosa fa il DPO: compiti e funzioni
Il GDPR fornisce una serie di compiti, durante lo svolgimento dei quali il DPO deve considerare il rischio associato con le operazioni di trattamento, la natura, l’ambito e lo scopo del trattamento.
I compiti principali del responsabile della protezione dei dati, secondo l’art.39 del GDPR, sono:
- “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento (GDPR) nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati”. Questo compito, relativo alle funzioni consultive del DPO, è di particolare importanza per raggiungere un elevato grado di protezione dei dati e ridurre al minimo i rischi di impatto negativo sulla privacy degli interessati.
- “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. Questo compito è essenziale perché, grazie al monitoraggio, il DPO riesce a svolgere una funzione di supporto consistente, attraverso specifiche raccomandazioni al responsabile o al titolare de trattamento. Sono compiti del DPO anche la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento: si noti come la formazione sul trattamento dei dati personali è un elemento essenziale delle misure di protezione e gioca un ruolo significativo nella corretta applicazione delle regole.
“Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento ai sensi dell’articolo 35”- cioè: solo sotto richiesta del titolare di trattamento. In questo frangente, il WP29 raccomanda che il titolare del trattamento cerchi consiglio dal DPO sui seguenti argomenti: se effettuare la valutazione, quale metodologia seguire per svolgerla, se deve essere eseguita internamente o esternamente e quali garanzie applicare per mitigare ogni eventuale rischio. Questo compito racchiude anche l’azione di monitoraggio del processo di valutazione. - “Cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.” Questo compito è legato al ruolo di mediatore del DPO. È responsabilità del titolare del trattamento pubblicare i contatti del DPO e di notificarli all’autorità di controllo. L’obiettivo è assicurarsi che gli interessati e l’autorità di controllo possano contattare facilmente il responsabile per la protezione dei dati.
In pratica, che cosa fa davvero il Data Protection Officer?
Alcuni esempi pratici:
- Il DPO aiuta il titolare del trattamento a scrivere la Valutazione di Impatto sulla protezione dei dati (DPIA), prima di cominciare un trattamento ad alto rischio (ad esempio uno relativo all’acquisizione e gestioni di dati medici, o sullo screening di un virus)
- Il DPO può aiutare il titolare del trattamento a scegliere la configurazione delle telecomunicazioni di un’azienda o un software che garantisca la protezione dei dati by default.
- Il DPO può consigliare al titolare di censire tutti i PC aziendali che hanno ancora una versione del sistema operativo di Microsoft pari o più vecchia della 7. Il DPO si può in seguito confrontare con il dipartimento ICT per sviluppare un piano di aggiornamento del software
- Se il DPO trova una violazione dei termini di contratto di un fornitore, deve immediatamente avvisare il titolare del trattamento, che a sua volta avvisa il responsabile.
- Se, durante l’esamina del risultato di un audit, il DPO trova che il trattamento non è conforme ai principi del GDPR, si può rifiutare di firmarne la conformità.
Immaginiamo uno scenario un po’ più complesso: come conseguenza alla segnalazione di un utente interessato, il responsabile della protezione dei dati chiede di applicare il principio di minimizzazione dei dati e quindi di rimuovere dati personali irrilevanti e in eccesso dal database del personale di un’azienda. Il DPO interagisce con il responsabile del trattamento, consigliando di sospendere temporaneamente il servizio di raccolta dati, per modificarne le specifiche. Una volta apportate le modifiche necessarie, il DPO notifica gli interessati.
> Leggi anche: Utilità e prospettive della Data Protection Compliance
Quali sono le competenze del DPO?
Il GDRP non specifica le competenze professionali richieste al DPO, ma solo che deve avere una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Il WP29 consiglia che la “conoscenza specialistica” sia adeguata alla sensibilità, complessità e quantità dei dati processati. Certamente competenze di tipo tecnico e manageriale sono essenziali per un DPO, anche se manca il consenso sulle specifiche certificazioni che gli garantiscono un adeguato livello di expertise. In Italia, ad esempio, contrariamente al credo comune, il possesso della certificazione ISO27001 non può essere un requisito vincolante per la procedura di selezione di un DPO.
> Leggi anche: Progettare la sicurezza: la nuova norma ISO27001
In ogni caso, possiamo sicuramente affermare che il DPO deve avere una conoscenza profonda della struttura organizzativa, di quale sistema di informazione viene usato e il settore specifico delle attività del responsabile del trattamento, oltre ad avere chiaramente dimestichezza con le operazioni di trattamento dei dati. Deve inoltre conoscere le norme e le pratiche sulla protezione dei dati sia dal punto di vista legale, sia dal punto di vista tecnico informatico, inclusa chiaramente una profonda conoscenza del GDPR. Sulle soft skills del responsabile della protezione dei dati si possono citare l’integrità, una forte etica professionale e grandi capacità di comunicazione.
Il livello di conoscenze tecniche di un responsabile della protezione dei dati è vago nel testo del GDPR: ad esempio, nel caso in cui venga scoperto un data breach, è essenziale che il DPO contatti un security analyst o in ogni caso il dipartimento IT per ottenere maggiori informazioni sull’incidente e determinare al meglio l’impatto. Capita però spesso, soprattutto in un territorio costellato di PMI come quello italiano, che il “dipartimento IT” sia una sola persona che conosce solamente i concetti basilari della sicurezza informatica. Il DPO stesso può quindi finire per essere l’esperto in Cyber Security.
A causa dell’aumento della complessità delle operazioni di trattamento, il ruolo e la rilevanza della figura del DPO continueranno a crescere, così come i suoi compiti e le sue funzioni. In termini di GDPR, in ogni caso, il DPO è una figura cruciale che dovrebbe essere vista come un mezzo fondamentale per dare praticità al principio di accountability: nelle realtà in cui viene nominato un DPO, dovrebbe esserci una migliore, completa e seria conformità al GDPR.
Fonti:
Ciclosi F. and Massacci F. (2023) ”The Data Protection Officer, an ubiquitous role nobody really knows”, IEEE Security & Privacy, , 21(1), pp. 66–77. Disponibile online: https://arxiv.org/pdf/2212.07712.pdf [Ultimo accesso 28/04/2023]
Korff, D e Georges, M. (2019) “The Data Protection Officer Handbook”. Disponibile online: https://www.ipvz.cz/seznam-souboru/5028-2019-korff-the-dpo-handbook.pdf [Ultimo accesso 28/04/2023]
Mateeva, M. (2019). “Specific Nature of the New Profession “Data Protection Officer” in the Context of Digitalization”. Disponibile online: https://www.researchgate.net/profile/Zhivka-Mateeva/publication/341980011_Specific_Nature_of_the_New_Profession_Data_Protection_Officer_in_the_Context_of_Digitalization/links/5edbf23e45851529453fa504/Specific-Nature-of-the-New-Profession-Data-Protection-Officer-in-the-Context-of-Digitalization.pdf [Ultimo Accesso 28/04/2023]
Miniscalco, N. (2022) DPO obbligatorio per I Soggetti Pubblici, ma non per tutti: Il problema, Agenda Digitale. Disponibile online: https://www.agendadigitale.eu/sicurezza/dpo-obbligatorio-per-i-soggetti-pubblici-ma-non-per-tutti-il-problema/ (Ultimo accesso: 28/04/2023).
Regolamento UE n. 2016/679 (GDPR) e D.lgs. 30.06.2003, n. 196 (Codice in materia in protezione dei dati personali), come modificato dal D.lgs. 10.08.2018, n. 101. Disponibile online: https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Arricchito+con+riferimenti+ai+Considerando+Aggiornato+alle+rettifiche+pubblicate+sulla+Gazzetta+Ufficiale++dell%27Unione+europea+127+del+23+maggio+2018 [Ultimo accesso: 28/04/2023]
Šidlauskas A. (2021) “The Role and Significance of the Data Protection Officer in the Organization”, Socialiniai tyrimai, 44(1), pp. 8-28. Disponibile online: https://repository.mruni.eu/bitstream/handle/007/17545/23038-Article%20Text-47508-1-10-20210525.pdf?sequence=1&isAllowed=y [Ultimo accesso 28/04/2023]