Tempo di lettura stimato: 7'
Scegliere un DPO non è semplice perché:
1) non c’è un albo;
2) una volta che nomini il DPO te lo tieni per tutto il mandato (a meno che non faccia qualcosa di grave e quindi puoi rimuoverlo);
3) devi selezionare il soggetto giusto perché, durante la visita ispettiva, l’Autorità ti chiede come mai hai scelto proprio quel DPO, secondo quali criteri.
A questo proposito potrebbe interessarti leggere: Professione DPO: la nomina e le responsabilità del titolare del trattamento
4) E non è semplice anche perché, se hai l’obbligo di nominare il DPO e non lo nomini, o lo nomini in ritardo o sbagli a nominarlo, rischi di incappare in conseguenze gravi a livello civile e penale. Si chiama culpa in eligendo.
Quindi, come si sceglie un DPO? Prima di tutto dimostra la tua accountability
La culpa in eligendo è la cosa a cui bisogna stare più attenti perché, quando la Guardia di Finanza va da un titolare, verifica anche le modalità con cui il DPO è stato scelto e gli dice: “Dimmi perché hai scelto Mario Rossi come DPO. Lo hai messo in concorrenza in base al prezzo? Hai verificato le sue qualifiche rispetto a quelle degli altri? Lo hai hai scelto perché ha dimostrato un’esperienza che gli altri, nonostante le certificazioni, non avevano o per altri motivi? Hai visto se ha una polizza assicurativa?”
Quindi il titolare deve dimostrare che ha fatto una scelta secondo un processo logico e professionale (accountability).
E come si sceglie un professionista o una società che sappia fare bene il DPO?
Avendo chiaro fin da subito quali sono le caratteristiche di un bravo DPO.
Come fare bene il DPO: i requisiti e le cose da sapere
Prima di tutto una cosa: è vero che stando al GDPR non esistono sanzioni a carico del DPO, ma il DPO è comunque esposto ad una serie di responsabilità. Quindi, per fare bene questa professione, è importante che non ci siano conflitti di interessi e che gli accordi siano chiari.
1. Attenzione al conflitto di interessi
All’estero – non in Italia, per il momento – ci sono state delle multe proprio sulla nomina del DPO, come la sanzione ad una società tedesca che ha nominato DPO il suo IT manager e quindi in conflitto di interessi.
Per cui, o si decide di nominare un dirigente solo per fare il DPO interno - ma in Italia diventa molto oneroso – oppure si prende una società esterna, così si escude automaticamente il rischio di essere sanzionati per un’eventuale violazione di conflitto di interessi. Ergo. Meglio essere DPO insieme ad altri.
2 . Patti chiari, amicizia lunga
Nel settore privato, quando si nomina un DPO, va stipulato un contratto di servizi, che deve:
- Chiarire in modo estremamente puntuale quali sono i compiti del DPO e del titolare.
- Indicare le clausole di salvaguardia per l’autonomia operativa del DPO, che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati. Per esempio, se il CDA prende una decisione senza coinvolgere minimamente il DPO, non può essere accollata nessuna responsabilità al Data Protection Officer!
- Specificare che l’organizzazione deve mettere a disposizione tutte le informazioni pertinenti.
Quindi si chiarisce anche cosa non spetta al DPO!
Spesso il DPO diventa un refugium peccatorum di tutto quello che si trova in azienda: gli chiedeono di esaminare decine di nomine a responsabile esterno, come trattare la questione Covid e anche altre cose che esulano dal suo compito. Succede quando il titolare confonde i compiti propri del DPO. Per questo è meglio chiarire subito nella nomina cosa è incluso e cosa non è incluso.
- Avere delle garanzie sulla possibilità del DPO di accedere agli uffici, parlare col personale e sapere quali sono i tempi di risposta. Perché spesso gli addetti indicati dal titolare del trattamento non collaborano.
- Formalizzare anche dal punto di vista economico la richiesta dei pareri. Perché esistono diverse attività facoltative – registro delle attività, documentazione del Data Breach eccetera – che vanno chiarite. Se il contratto è dettagliato, non c’è imbarazzo: il titolare sa che un certo servizio è extra e lo chiede dietro pagamento. Se invece nel contratto non vengono dettagliate le attività, il più delle volte c’è il problema del “Lo faccio? Ma è fuori contratto…”
3 . Durata dell’incarico: né troppo lungo, né troppo corto
Sulla durata dell’incarico non ci sono regole prestabilite. Si suppone che una nomina di 2 anni sia un tempo necessario a evitare:
a) che il titolare cambi con leggerezza un DPO che dà indicazioni che non gli piacciono;
b) che il DPO abbia la necessaria indipendenza.
Poi, anche se il GDPR non dice nulla, c’è sempre il Regolmento Europeo 45/2001 – che aveva istituito la figura del Responsabile Protezione Dati (RPD) – a dirci che l’incarico dell’RPD doveva durare per un minimo di 2 anni e non più di 5 anni.
Questo per evitare che il DPO, dopo qualche tempo, inizi a chiudere un occhio. Perché certe fidelizzazioni possono creare delle distonie nel rapporto tra titolare e DPO.
4. Meglio stipulare una polizza assicurativa
Il contratto potrebbe prevedere che certe responsabilità restino in capo al DPO. E quindi certe sanzioni amministrative possono anche essere scaricate addosso al DPO.
Cosa vuol dire?
Vuol dire che, se il titolare prende una multa e la multa deriva dal fatto che il DPO non ha fatto quello che doveva fare, la multa la paga il DPO e che il titolare può anche intentare una causa civile.
Quindi il titolare accorto sceglierà un DPO che ha stipulato una polizza assicurativa, perché avrà più sicurezze di riuscire a recuperare quanto dovuto!
Come deve lavorare il DPO?
È necessario che abbia un approccio procedurale. Perché l’ente che nomina il DPO deve essere in grado di dimostrare quello che ha fatto e come è stato fatto. Deve dare evidenza di come il trattamento viene eseguito all’interno della sua organizzazione.
Idem per il DPO.
Grazie all’approccio procedurale, anche il DPO dà evidenza di come svolge il suo ruolo all’interno dell’ente, proprio perché il cartellino rosso possono prenderselo anche i Data Protection Officer: il DPO infatti è un prestatore di servizi e quindi il titolare può tacciarlo di inadempimento contrattuale.
Poi deve avere la necessaria indipendenza. Deve formare il titolare - non è un obbligo, ma è molto importante perché non è detto che il titolare sia stato formato correttamente dal consulente GDPR – e deve essere affidabile. Quindi è un DPO che ha studiato, si è preparato, ha la polizza assicurativa.
Deve lavorare part-time o full-time?
Né l’uno né l’altro.
Il DPO fa la sorveglianza, verifica che sia tutto a posto e poi, magari, il titolare lo rivede l’anno dopo. Dipende dal cliente.
Se sei il DPO di una società che fa Digital Marketing, sai che 2 secondi prima che metti la firma sull’incarico hai finito di vivere, perché sono aziende che si inventano di tutto e quindi lavorare per questi clienti significa correre il rischio di smettere di lavorare a qualsiasi altra cosa. Un conto è la società metalmeccanica, un altro sono le società di Digital Marketing.
Attenzione all’etichetta e al linguaggio delle istituzioni
Circa la metà dei DPO in Italia ha una formazione legale, mentre il 10 % ha una formazione informatica ed un altro 10% amministrativa.
La formazione legale ha più a che fare con le istituzioni ed è per questo che i DPO legal sono stati i primi a proporsi sul mercato, soprattutto perché parlano lo stesso linguaggio degli enti e delle Autorità di sorveglianza.
Mentre chi fa cybersecurity fa più fatica a comunicare con questi istituti.
Non signifca che non siano DPO preparati, ma il fattore critico è la modalità di comunicazione e la conoscenza di come funzionano le istituzioni.
Come scrivere il verbale, quali sono i tempi per presentare un documento, cosa dire e cosa non dire, quali dichiarazioni fare, qual è il peso delle dichiarazioni sono tutte cose che è necessario sapere, perché, per esempio, quello che dichiari durante la visita ispettiva può essere usato contro il cliente. Ed è lì e mai più, perché non c’è più possibilità di rettifica!
Quindi questa è la parte che il DPO di formazione IT e amministrativa deve imparare ad affrontare e che è più difficile da gestire durante un’ispezione. Sarebbe meglio che il DPO tecnico fosse spalleggiato da un legale che, a sua volta, ha bisogno del supporto di chi viene dall’IT per le questioni informatiche.
Il DPO infatti arriva a toccare tutti i dipartimenti, tutta l’attività svolta. È un po’ come il certificatore ISO di come vengono gestiti i dati all’interno dell’azienda. Deve saper mettere le mani dappertutto.
Per concludere: DPO in solitaria?
Meglio di no. Le cose sono talmente tante, le competenze sono talmente tante che non è un incarico che si può svolgere in solitudine. È una materia che sta andando verso un inasprimento, anche nei confronti del DPO. Mai come in questi casi vale il detto: l’unione fa la forza.
Articolo tratto dall’intervento dell’Avvocato Barbara Sabellico su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
