E se non potessi permettermi di assumere un DPO? (pro e contro)

Il GDPR definisce l’obbligo da parte delle aziende di nominare un DPO (Data Protection Officer) qualora si rientri nei casi di trattamento previsti nell’art. 37, ma i requisiti di un DPO non sono così semplici da reperire, nemmeno oggi in una “Data driven society”.

Può anche capitare che piccole aziende abbiano la necessità di nominare un DPO per ottemperare agli obblighi di legge, ma la gestione potrebbe diventare onerosa e difficoltosa; ecco che allora può valere la pena prendere in considerazione l’adozione di un DPO esterno “as a service”, ma… cosa occorre valutare nella selezione di un DPO?

Ce lo spiega in un bell’articolo sulla testata https://www.infosec.news/  il nostro collaboratore Stefano Gazzella


Designare un DPO interno o esterno? Impossibile farne una questione di principio, perché occorre sempre guardare al contesto organizzativo e alle attività di trattamento svolte dal titolare o dal responsabile che intende procedere alla designazione.

Il GDPR, a riguardo, consente entrambe le opzioni purché siano rispettate le garanzie dell’art. 38, e dunque:

  • che sia coinvolto nelle questioni riguardanti la protezione dei dati personali, anche e soprattutto per l’efficace promozione del principio di protezione dei dati sin dalla progettazione dei trattamenti;
  • che si tenga conto del parere e delle raccomandazioni del DPO, documentando e motivando eventuali scelte difformi da parte dell’organizzazione;
  • che sia dotato di risorse (finanziarie, infrastrutture e personale) e supporto da parte della Direzione per lo svolgimento della propria funzione;
  • che sia garantita la sua formazione continua su tematiche relative alla protezione dei dati personali;
  • che non sia penalizzato o ostacolato per lo svolgimento dei propri compiti;
  • che sia garantita l’indipendenza;
  • che non si generi un conflitto di interessi con l’attribuzione di eventuali ulteriori compiti o funzioni.

Inoltre, è molto importante considerare anche il fattore temporale: il DPO deve disporre di un tempo sufficiente per lo svolgimento della propria funzione. Ciò significa che anche in caso di svolgimento di ulteriori incarichi, sarà onere del titolare o del responsabile verificare che il DPO sia in grado di svolgere efficacemente la propria funzione garantendo l’adempimento dei propri compiti ed assicurando la continuità dell’attività di sorveglianza.

La scelta di designare un DPO interno ha l’indubbio vantaggio di presentare una figura stabilmente inserita e nota all’interno dell’assetto organizzativo, con l’ottimizzazione dei flussi informativi e la possibilità di ricevere un budget dedicato. I principali rischi di tale scelta riguardano i profili del potenziale conflitto di interessi, le garanzie di indipendenza funzionale e l’efficacia dei pareri e delle raccomandazioni nei confronti delle scelte direzionali.

Al contrario, la scelta di designare un DPO esterno presenta il vantaggio di una maggiore garanzia di indipendenza, assenza di conflitti di interesse e autorevolezza della propria opinione motivata nei confronti delle scelte direzionali. Il rischio di tale scelta è però che il DPO esterno non sia percepito come “parte” dell’organizzazione del titolare e del responsabile, anche per il riscontro alle richieste di dotazioni a supporto della propria funzione.

In entrambi i casi, è bene essere consapevoli degli inevitabili punti di forza e di debolezza in modo tale da predisporre particolare attenzione alla definizione, tanto in sede contrattuale che operativa, dei correttivi necessari per potenziare i vantaggi ed evitare (o contenere) gli svantaggi. Tali interventi devono essere operati dal titolare o dal responsabile del trattamento in forza del principio di responsabilizzazione al fine di garantire l’effettività del pieno svolgimento dei compiti e delle funzioni del DPO, con monitoraggio continuo della loro efficacia e valutazione di eventuali necessità ulteriori ed emergenti.

Perché vi sia un “posizionamento” del DPO conforme alle prescrizioni del GDPR, è bene ricordare, la designazione formale costituisce un elemento necessario ma non sufficiente, dal momento che in ogni caso l’osservanza della normativa in materia di protezione dei dati (e dunque: anche in relazione agli artt. da 37 a 39 GDPR riguardanti il DPO) è e rimane una responsabilità esclusiva in capo al titolare o del responsabile del trattamento.

Come è evidente, dal momento che possono esistere dei motivi a favore della scelta di designare un DPO tanto interno quanto esterno, il fattore determinante non può che derivare da un’accurata analisi preventiva del contesto del titolare o del responsabile del trattamento, tenendo conto soprattutto delle attività svolte sui dati nonché dell’assetto organizzativo (in senso lato, dovendo considerare ad esempio anche le sedi ed i punti di raccolta, elaborazione o conservazione dei dati).

2020-03-04T16:44:05+00:00