La figura del DPO tra prassi e conoscenza specialistica della normativa
Questo è il ragionamento di base su cui si è sviluppato il dibattito in un incontro
organizzato da Federprivacy venerdì 26 febbraio a cui hanno partecipato oltre
quattrocento professionisti di multinazionali ed altre grandi realtà italiane oltre varie centinaia di professionisti e titolari collegati in streaming
Video del Seminario online ‘Il Data Protection Officer tra regole e prassi
All’evento è intervenuto Guido Scorza, componente del Garante Privacy in Roma, Rocco Panetta ex Funzionario dell’Autorità e Leader di IAPP per l’Italia, il Presidente di Federprivacy Bernardi.
A tale riguardo le recenti linee guida del Garante Italiano Privacy riguardo la nomina del DPO/RPD ha chiarito che ricorrendo i suddetti presupposti della nomina come da GDPR, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas, acqua); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento
Di seguito una sintetica traccia delle criticità emerse a cui si dovrà porre attenzione.
DPO come figura artificiale perché introdotto dall’ordinamento europeo per legge.
Legislatore Europeo ha normato il DPO come in Italia è stato imposto il Responsabile Trasparenza o RTD Responsabile Transizione Digitale – Queste figure devono dimostrare che siano valide nella pratica oltre che nella teoria voluta dalla norma.
Utilità nella ricerca da parte del titolare di un ruolo di un “DPO nella media” non corrisponde a quello che vuole le norma, e che è necessario per le aziende ed Enti, deve essere un professionista completo ed eterogeneo.
Non c’è nessun dubbio, in una dimensione accademica, che l’introduzione del DPO
nell’ordinamento europeo in materia di protezione dei dati personali sia stata una scelta
opportuna e, forse, illuminata ma, ora, la vera scommessa sta nel verificare se tale
figura, nella pratica, riuscirà a fare la differenza e garantire un innalzamento
qualitativo del livello di applicazione concreta delle regole e di rispetto dei diritti degli
interessati o, se al contrario, si rivelerà solo un ennesimo adempimento formale privo di
qualsivoglia beneficio concreto per la società. E tocca ai responsabili della protezione dei
dati personali scrivere in un senso o nell’altro il destino di questa nuova figura
professionale
Sarà fondamentale capire nel tempo se etichetta del DPO verrà interpretata da una moltiplicazione di figure che interpretano il ruolo come “unica utilità” a consentire al titolare di soddisfare un adempimento formale previsto dalla legge ma senza una sostanziale utilità alla protezione dei dati personali
Nella legge dei grandi numeri sono state circa 60mila le comunicazioni di DPO all’Autorità Garante che non significa 60Mila professionisti, ma meno della metà saranno realmente in grado di essere realmente competenti come ruolo di DPO, e quindi la diffidenza deve farci riflettere su quanti sono veramente i soggetti qualificati a ricoprire tale ruolo
Dal 2018 il tempo per adeguarsi c’è stato, anche per scegliere un adeguato DPO
Garante aveva difficoltà di interlocuzione per questo è nato il DPO nelle Aziende
Devi conoscere la prassi sul trattamento dati, diritto sostanziale come il GDPR e nome nazionali, la tecnologia e la sicurezza informatica , ma esperienza ed indipendenza ed autorevolezza sono un “must” e requisito essenziale per il DPO, come indipendenza è elemento fondamentale sia da titolare che dal Garante, accertato che non è longa manus del Garante il DPO.
La taglia unica del DPO non c’è, anche se molte aziende ed Enti hanno tentato di livellare le loro richieste verso il minimo economico ed il basso profilo in ottica di risparmio.
Come bisogna comprendere che un software non potrà mai sostituire la professionalità e la competenza su un settore difficile ed in continua evoluzione come la Privacy.
Molti dicono che le Autorità faranno 10milioni di euro di sanzione a Google , “ma a me non arrivano“, ma questo tempo è finito!! e chi tenta di eludere l’adeguamento si espone a grossi rischi.
Opportuna e fondamentale dare la scelta ai titolari, nei casi non obbligatori, della facoltà di nomina del DPO ed incentivarli a dotarsi di una persona competente all’interno dell’azienda e capace di colloquiare con collaboratori, fornitori e Garante
A dare una svolta alla qualità della professione devono essere gli stessi DPO, anche al loro interno, ed anche tramite le Associazioni di riferimento evitando che titolare arrivi a rassegnarsi visto che: “tanto se ne può fare a meno visto non riescono a fare quello che dovevano!!”
Evitare la mercificazione della funzione e gli incarichi in serie, evitando conflitti di interesse nell’ottica di mercificazione seriale
Quando si vedono andare a gara bandi o ricerche da parte di Aziende per DPO a pochi euro, ed in Autorità Garante spesso risultano accreditati soggetti con “centinaia di incarichi a basso prezzo” e che sono DPO di una moltitudine di soggetti, tanto elevata da rendere difficilmente verosimile la possibilità di dedicare il giusto tempo e la corretta professionalità al titolare del trattamento
Comportamenti al limite dello scorretto, ma sicuramente antietici.
Non può essere la regola andare ad assumersi le responsabilità del DPO per importi simili
Si assiste ad Amministratori che hanno nominato loro stessi DPO della stessa Azienda, in palese conflitto di interessi, ed il Garante dovrà andare a mettere dei paletti in queste patologie del mercato.
La Autorità Garante ed ispezioni della GdF chiedono quanta è stata la presenza del DPO in Azienda, dovrebbe essere settimanalmente in azienda, anche in base al principio della facile raggiungibilità del DPO, oltre che essere contattabile tramite gli strumenti elettronici.
Troppo spesso ci si sente dire:”Ti pago 500 euro od 800 euro per fare il DPO”, ma Garante non ritiene di entrare nel merito della libera contrattazione tra le parti, ma sicuro quanto potrà o varrà dare retta al titolare (che non riconosce alla figura sia la professionalità che un corretto compenso) questo DPO anche di fronte a problematiche complesse?? “E quindi di retta non te ne dò proprio”, e poi Autorità si troverà di fronte ad ogni sorta di nefandezza messa in atto da titolare sulla base di un DPO assente anche legittimamente, che verranno sanzionate anche tenuto conto della doppia inadempienza.
Molte Aziende ed Enti ancora non hanno provveduto alla necessaria nomina, e di questo ne siamo a conoscenza come Autorità Garante.
Responsabile Protezione Dati DPO non dovrebbe effettuare sia compliance che funzione di DPO.
Ma DPO non deve mai fare “comunella e commistione” con il titolare.
DPO non deve influenzare sulle modalità e mezzi del trattamento e deve mantenere terzietà
Può essere un dipendente del titolare ma non settore legale, ICT. Marketing e internal audit. Meno che mai le figure apicali del Direttore, od Amministratore.
Video del Seminario online Il Data Protection Officer tra regole e prassi
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale 4.0 Internazionale.
O.L.I.T. Informatica (L'Aquila) ITALIA 
Devi effettuare l'accesso per postare un commento.