Chi è il Data Protection Officer (DPO), la figura deputata a supervisionare sulla corretta applicazione del GDPR in azienda? Professionista già contemplato in alcune legislazioni nazionali di Paesi UE, il DPO ha alcune caratteristiche in comune con il Data Security Officer e il Privacy Officer, pur non essendo assimilabile di fatto, per responsabilità e vision, a nessun altro manager o quadro con competenze in materia di protezione dati o privacy. L’introduzione del DPO è, insieme all’affermazione di altri principi, come la privacy by design – l’incorporazione della tutela della privacy fin dalla progettazione di un processo, un servizio o un prodotto – e la accountability – la responsabilità rafforzata del Titolare e del Responsabile del trattamento dati sulle ricadute del trattamento stesso -, tra le novità principali della disciplina della data protection introdotte con il GDPR. Secondo gli ultimi dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, oggi la gestione della data protection è più evoluta, anche per effetto della spinta normativa, con il 69% delle imprese che ha inserito un Data Protection Officer in organico e il resto che si avvale di figure esterne. Nel 51% dei casi questa figura riporta direttamente al board e nel 52% dispone di un budget dedicato (+9% sul 2019).
GDPR in Italia, a che punto siamo
Ma a che punto è l’attuazione del General Data Protection Regulation in Italia? A meno di un anno dalla su definitiva applicazione, quasi 6 aziende su 10 sono ancora alle prese con i problemi di conformità alla normativa europea in materia di protezione dei dati. Dalle evidenze dell’Osservatorio Information Security & Privacy 2019 del Politecnico di Milano, infatti, emerge come nel 59% delle organizzazioni del Bel Paese sia tuttora in corso un progetto di adeguamento al GDPR e solo nel 23% dei casi l’allineamento risulta già concluso. Lo stesso studio evidenzia, poi, che la figura del DPO è già presente formalmente nel 65% delle organizzazioni mentre nel 6% dei casi la sua è una presenza più che altro informale. Nel 18% delle aziende la responsabilità del DPO è affidata a una figura esterna (servizio DPO) e scende al 5% – era il 15% lo scorso anno – la percentuale di organizzazioni che non prevede di dotarsi di un DPO neppure in futuro.
GDPR: quando è obbligatorio il DPO
La figura del Data Protection Officer era già stata introdotta diversi anni fa in alcuni regolamenti nazionali come in Germania, Austria e Repubblica Ceca, anche se la sua nomina in alcuni casi (in Francia, per esempio) era facoltativa. Con la definitiva applicazione del Regolamento UE 2016/679, lo scorso 25 maggio, la disciplina del DPO è stata uniformata a livello europeo. Il GDPR indica espressamente, all’articolo 37, i casi in cui la nomina di un Data Protection Officer è coattiva. L’introduzione di questa figura è obbligatoria se il trattamento dei dati personali è svolto da un’autorità o un ente pubblico, fatta eccezione per le autorità giudiziarie. L’obbligo vale anche per tutti i soggetti (enti o imprese) la cui attività principale consiste nel trattamento sistematico o nel monitoraggio su larga scala dei dati personali (utility e telco, per esempio) o di categorie particolari di dati come quelli sanitari e giudiziari. Infine, la nomina del DPO è imposta per legge alle aziende e alle organizzazioni che svolgono attività di profilazione per finalità di marketing.
Data Protection Officer: compiti e responsabilità
Il DPO è, a conti fatti, un profilo professionale piuttosto nuovo, anche se da diversi anni le grandi aziende e gli enti della PA si sono dotati al proprio interno di figure e funzioni votate alla gestione della materia della tutela della privacy, con compiti in parte assimilabili a quelli del Data Protection Officer.
Il GDPR nell’articolo 39 definisce i compiti principali del Data Protection Officer, anche se in realtà le sue responsabilità possono essere, a seconda delle organizzazioni per cui presta la propria consulenza, anche molto ampie. Tra i suoi doveri principali, quello di informare il Responsabile e il Titolare del trattamento e tutti i dipendenti sugli obblighi del Regolamento Europeo sulla Data Protection. Spetta al DPO anche il compito di valutare se è opportuno condurre un Data Protection Impact Assessment (DPIA) e, nel caso, quale metodologia utilizzare per realizzarlo. Il DPIA, va ricordato, è il documento che descrive in dettaglio le modalità di trattamento utilizzate e identifica gli eventuali rischi all’integrità dei dati delle persone fisiche – clienti, fornitori, visitatori di un sito web, dipendenti… – che hanno a che fare con l’organizzazione, oltre a indicare le misure tecnologiche e organizzative idonee a mitigarli. Tra le incombenze del DPO c’è anche quella, fondamentale, di sorvegliare sull’osservanza del regolamento favorendo le iniziative di sensibilizzazione sul tema, la formazione di dipendenti e manager e il controllo sull’adeguatezza dei piani di audit interno.
Come scegliere il DPO: competenze e conoscenze
Per la natura delle sue responsabilità, il Data Protection Officer ideale è scelto tra le figure di vertice dell’organigramma aziendale, quindi nel novero dei manager e dei dirigenti. Ma potrà anche essere selezionato all’interno di figure intermedie, per esempio un funzionario, a patto che dimostri di avere una profonda conoscenza della materia della privacy e della protezione dati. «Le scuole di pensiero sono diverse – spiega Paolo Calvi, Data Protection Officer di P4I – Partners4Innovation, società del gruppo Digital360 –, ma prevale la convinzione che il DPO debba essere una figura sostanzialmente diversa dal Privacy Officer o dal Compliance Manager che, all’interno dell’azienda, si occupano rispettivamente della materia della protezione dei dati personali e della progettazione, implementazione ed esecuzione delle misure di compliance. Il DPO ha, infatti, una funzione più che altro di controllo sulla corretta applicazione del GDPR, oltre che di informazione e formazione sul Regolamento».
Who's Who
Paolo Calvi
Data Protection Officer di P4I-Partners4Innovation
Indipendentemente dal suo background, che potrà essere più legato alla familiarità con le tecnologie ICT oppure alla padronanza degli aspetti legali della tutela dei dati personali, il DPO deve avere alcune caratteristiche peculiari:
- Competenze professionali: deve essere un professionista esperto della materia della gestione, trattamento, protezione dei dati personali e tutela della privacy. Deve, quindi, avere competenze giuridiche e di risk management trasversali, ma anche una conoscenza delle normative specifiche e delle procedure amministrative del settore in cui opera l’organizzazione.
- Conoscenze specialistiche: deve avere una profonda conoscenza della normativa e della prassi relativa alla data protection e alla tutela della privacy, ma deve avere anche acquisito competenze ad hoc riguardanti le tecnologie di sicurezza informatica. Per documentare questa conoscenza specialistica, potrà essere richiesto al DPO di esibire titoli particolari, anche se allo stato attuale delle cose non esistono attestazioni specifiche sull’idoneità o meno di un professionista a ricoprire questo ruolo.
- Attitudini personali: deve avere un talento naturale per il problem solving e un mindset strategico, oltre a una spiccata attitudine alle relazioni interpersonali e alla comunicazione.
I vantaggi del servizio Data Protection Officer
A seconda delle considerazioni di carattere economico e della disponibilità o meno di figure interne competenti e adatte allo scopo, il Data Protection Officer potrà essere individuato tra i soggetti interni all’azienda – un dirigente dell’ufficio legale, un manager IT… – oppure esterni. Secondo le indicazioni dei Garanti Privacy europei, per l’esercizio delle funzioni di DPO non è richiesta l’iscrizione ad appositi albi o il possesso di titoli o certificazioni specifiche. Si tratta, comunque, di un compito davvero complesso, ecco perchè spesso appare difficile “scovare” all’interno dell’organigramma o del management aziendale una figura con i requisiti adatti allo scopo, ovvero una preparazione puntuale sulla materia della data protection, una formazione tecnica specifica in ambito ICT e un’esperienza maturata “sul campo” nel trattamento dei dati personali. Altro aspetto da tenere in conto quando si tratta di individuare e nominare il DPO è quello legato alla necessaria imparzialità che deve contraddistinguere questa figura rispetto al Titolare e al Responsabile del trattamento dei dati personali. E proprio su questo scoglio che le considerazioni legate all’economicità della scelta di un DPO interno si scontrano con la necessità di evitare che si crei in seno all’azienda un conflitto d’interesse. Il Data Protection Officer, infatti, deve obbligatoriamente essere una figura indipendente, un supervisore unico e super partes che si occupi (preferibilmente in via esclusiva) della vigilanza sulla corretta applicazione del GDPR. Ecco perché sono sempre più numerose le organizzazioni che decidono di optare per un servizio DPO esterno rivolgendosi a un professionista che, da solo o avvalendosi della collaborazione di un team, svolge l’attività di responsabile della protezione dati per diverse aziende o enti. Il DPO esterno potrà eventualmente essere aiutato nello svolgimento dei suoi compiti da uno o più soggetti interni all’azienda, selezionati in prevalenza all’interno delle funzioni ICT, IT Security e Legal.
I servizi esterni, donominati anche “DPO as a service“, in pratica, mettono a disposizione delle aziende un team di risorse multidisciplinari in grado di affrontare con professionalità e competenza tutti i compiti attribuiti a questa figura. Con il lancio della nuova practice “Audit & Control”, anche Partners4Innovation offre questo servizio, che consente alle organizzazioni di usufruire di un mix di risorse specializzate negli ambiti di intervento necessari, con la sola interfaccia di P4I e nel rispetto dei requisiti normativi previsti per la figura del DPO.
«Il mix di competenze di P4I è pienamente compatibile con il ruolo di Data Protection Officer, al quale è richiesto di occuparsi di tutti gli aspetti che impattano sul trattamento di dati personali nell’ambito dei vari processi aziendali e che possono riguardare anche nuove tecnologie e servizi innovativi – sottolinea Gabriele Faggioli, Amministratore Delegato di P4I, nonché Presidente di Clusit e Responsabile Scientifico dell’Osservatorio Information Security and Privacy del Politecnico di Milano. È essenziale fornire alle organizzazioni tutti gli strumenti per rendere effettivo il ruolo del DPO che consiste nel verificare l’applicazione del GDPR, facilitarne l’osservanza e minimizzare il rischio di violazioni».
Who's Who
Gabriele Faggioli
CEO di Digital360, CEO di P4I - Partners4Innovation, Presidente Clusit
Il DPO e le certificazioni professionali
Il vantaggio principale del servizio DPO esterno è che il professionista che svolge questa attività generalmente possiede già le certificazioni professionali in materia di privacy utili all’azienda per dimostrare, in caso di controllo, di aver ottemperato agli obblighi previsti dal GDPR. Certificazioni in ambito data protection, sicurezza IT e audit, per esempio, oppure attestazioni specifiche necessarie per svolgere il ruolo di DPO in settori regolamentati come il banking. Particolarmente apprezzata risulta la certificazione UNI 11697:2017 che attesta a livello internazionale le competenze dei professionisti della privacy.