DPO esterno o DPO interno all’azienda: quale scegliere?

19 gennaio 2020Ultimo aggiornamento 26 febbraio 2020
Tempo di lettura stimato: 7'

DPO esterno o DPO interno all’azienda: quale scegliere

Un'azienda può decidere di avere il DPO interno oppure esterno. Quindi può decidere di nominare DPO un suo dipendente oppure un collaboratore esterno a partita IVA, che a sua volta può essere o una persona o una società. 
Cambia qualcosa? Dal punto di vista della legge, se in azienda nomini un interno o un esterno non cambia nulla, puoi scegliere o l’uno o l’altro. Ma nella pratica le cose non sono altrettanto semplici.

Innanzitutto, perché il mestiere di DPO è per sua natura molto complicato, ed è complicato perché tocca la parte legale, tocca la parte organizzativa e tocca la parte tecnologica dei trattamenti. Quindi servono competenze trasversali. Ed è complicato perché, a volte, il DPO deve dire delle cose scomode e più è dipendente dall’azienda, più ha le mani legate. 
In entrambi i casi, per fare bene il DPO non ci si può improvvisare. Serve esperienza, ma serve anche tanta tanta formazione.


Le qualità del Responsabile della Protezione dei Dati (RDP o DPO)

Per fare il DPO serve il pelo sullo stomaco!


Vuoi fare il Responsabile della Protezione dei Dati? 
Bene. Devi prima studiare. La formazione deve essere alla base dell'esperienza, altrimenti stai improvvisando. 
Devi nominare un DPO per la tua azienda perché hai l’obbligo, oppure non hai l’obbligo ma preferisci averlo comunque, che non si sa mai? 
Bene. Assicurati che abbia le competenze giuridiche e informatiche, verifica che abbia macinato esperienze all’interno dei processi aziendali e che si formi con costanza. 
Formazione ed esperienza poi non bastano mica, per fare il DPO ci vuole anche carattere
Serve pelo sullo stomaco, perché il DPO è come un Giano bifronte - da una parte controlla e dall’altra consiglia – e quando controlla e consiglia deve farsi rispettare, deve farsi ascoltare, non può essere lo yes man del titolare del trattamento. 


La funzione del DPO 

Il Responsabile della Protezione dei Dati Personali è un soggetto che è chiamato a svolgere una funzione aziendale. È come il Marketing, le Vendite, l’Amministrazione, le Risorse Umane e così via. 
Parlo di funzione perché la funzione, una volta che l'hai stabilita e costruita all’interno dell’azienda (o della Pubblica Amministrazione), appartiene alla governance dell’organizzazione, indipendentemente dalla persona che l’ha creata. Significa che la persona può cambiare, ma la funzione, una volta che l'hai istituita, resta e diventa organica all'interno dell'azienda. 
Quindi, una volta che la tua azienda nomina un DPO, crea una funzione che poi va mantenuta, anche se dopo un po’ cambi professionista perché non vi siete trovati bene o il tuo DPO interno si dimette e va a lavorare da un’altra parte.  
Il DPO svolge la sua funzione in due modalità che sono:
1) la funzione di controllo 
2) la funzione di consulenza
A differenza di tutte le altre funzioni dell'azienda, è l'unico ad avere questa duplice natura. Ecco perché il suo è un compito difficilissimo.

Cosa fa il DPO
, in concreto? 
Il suo lavoro è quello di controllare - a fronte dei trattamenti effettuati, dei dati trattati e delle misure attuate - se le azione intraprese e le procedure adottare siano compliant al GDPR. E se richiesto deve fornirti consulenza. Quando? In tutti i casi in cui tu Titolare o Responsabile Esterno e le diverse figure operative che rappresentano altre funzioni dell'azienda – chi segue le vendite, le persone del marketing, gli addetti dell’amministrazione, quelli che fanno le buste paga eccetera eccetera - vi trovate a dover trattare i dati personali per fare il vostro lavoro, cioè per fare quello che tecnicamente si chiama raggiungere lo scopo sociale dell'azienda. Come? Il DPO non vi dice come fare, non produce la documentazione, né scrive le procedure, ma vi consiglia perché possiate lavorare in modo conforme al Regolamento, con accountability, e vi aiuta a valutare se quello che avete prodotto e se le modalità che avete intrapreso rispettano gli obblighi imposti dal GDPR e minimizzano i rischi nell'attività di trattamento dei dati. 
E, ancora, il DPO non produce l’analisi dei rischi, né la DPIA, ma verifica che sia stata fatta correttamente ed eventualmente dà indicazioni su come deve essere effettuata.


Interno o esterno? I fattori da considerare nella scelta del DPO in azienda

Formalmente, fra DPO interno e DPO esterno non cambia nulla e la scelta fra l’uno o l’altro dipende da tante cose, prima tra tutte le dimensioni dell’azienda.
Di solito le piccole aziende nominano un DPO esterno
Prendiamo la Peppino srl, azienda che produce pasti per gli asili di Borzano di Albinea, dove lavorano 15 persone. È un’azienda che tratta dati personali e dati particolari (sensibili) – intolleranze alimentari, diete per motivi religiosi, per motivi etici, per motivi di salute eccetera eccetera – quindi decide che avere un DPO è la scelta giusta, per il tipo di dati trattati e perché tutti i bambini del territorio sono monitorati. Peppino è il titolare e in azienda con lui lavorano Silvana, sua moglie, che fa la contabilità, Antonio, suo figlio, che fa i controlli di sicurezza e Giulia, sua figlia, che fa la nutrizionista. Poi la Peppino srl ha una segretaria, un’amministrativa che aiuta sua moglie e 9 persone che lavorano fra produzione, magazzino, consegne e pulizie.

Come fa la Peppino srl a nominare un DPO interno? 
Non può. Primo, in azienda non hanno le competenze. 
Secondo, il DPO non potrebbe essere indipendente: a chi lo fai fare? Ad Antonio figlio di Peppino? Per non parlare del budget. Alla Peppino srl conviene incaricare un DPO esterno. 

Adesso invece prendiamo la Peppone spa, una grande impresa che fornisce servizi di call center con circa 200 dipendenti e che quindi è obbligata a nominare il DPO
La Peppone spa è strutturata: ha l’ufficio legale, l’ufficio compliance, eccetera eccetera e poi già che c’è si avvale anche di consulenti esterni. Ha già tutto in casa, perché cercare un DPO fuori? La Peppone spa, per le questioni del trattamento secondo il GDPR, nomina come Responsabile della Protezione dei Dati un suo dipendente, Roberto, che è anche avvocato e che per anni, prima di entrare alla Peppone, ha fatto consulenza a multinazionali. È uno che di aziende ne ha viste, che è entrato nelle stanze dei bottoni e che ha le competenze. 
Gli dà un budget autonomo, che Roberto può usare per sentire dei consulenti esterni. Così, se c’è da gestire un Data Breach - e quindi va fatta un’indagine tecnica - Roberto può parlare con il consulente informatico certificato di fiducia e chiedere il suo parere. 
Fin qui tutto bene. Siamo dentro al perimetro della normativa, ma c’è un problema. È un problema legato al conflitto di interessi


DPO interno all’azienda e conflitto di interessi

Conflitto d'Interessi

Se il DPO è interno - è un dipendente - e il titolare della Peppone spa vuole fare delle sporcaccionate con i dati personali che tratta, cosa succede? Succede che il DPO può anche dire che non è d’accordo, ma ha le mani legate. Non sto parlando di minacce, sto dicendo che se il titolare dice a Roberto “Guarda voglio fare Direct Marketing sulla base del legittimo interesse a clienti dei nostri clienti, perché dobbiamo recuperare una quota di fatturato… perché abbiamo perso una commessa grossa… e se non rientriamo l’anno prossimo perdiamo un’altra quota e finisce che fra 3 anni l’azienda chiude…” Secondo te, Roberto, che magari ha una moglie, dei figli e un mutuo, al titolare può permettersi di dire di no?  E se dice di no, cosa può succedere? Non possono licenziarlo ma…  
Questo è il problema del DPO interno. Ha un giogo. Se non è inquadrato correttamente, potrebbe non avere spazio di manovra. Potrebbe non riuscire ad essere indipendente.

Per il DPO esterno è diverso. 
Attenzione, però, parliamo di un professionista o di una società con partita IVA indipendente perché ha diversi clienti, non di un DPO con un solo cliente da cui dipende in tutto e per tutto. Perché altrimenti si torna alla questione del conflitto di interessi del DPO interno. 
Se il DPO esterno è indipendente, ha la tranquillità e l’autorevolezza di dire al suo cliente “Guarda io ti sconsiglio assolutamente di fare quello che mi stai dicendo” e di guardare negli occhi il titolare del trattamento senza paura, anche se è l’Amministratore Delegato di una multinazionale con migliaia di dipendenti. Non è sotto il giogo, ma riporta al titolare del trattamento alla pari
Il DPO non può essere un poveraccio terrorizzato che non vede mai l'Amministratore Delegato, alla Fantozzi, che ha paura di perdere il posto di lavoro. Deve essere una persona libera, perché deve parlare in Consiglio di Amministrazione, faccia a faccia con chi decide, con autorevolezza e pari dignità. Dà il suo parere. È un parere scomodo e non lo rinnovano? Meglio! Si toglie una mina inesplosa da sotto il sedere. 
L’indipendenza è essenziale anche dal punto di vista della normativa, perché senza vengono meno i presupposti affinché il DPO possa fare bene il suo lavoro
Allora potresti chiederti: il DPO interno può essere indipendente?
È più difficile ma è possibile se lo si mette nelle condizioni di potersi smarcare dal conflitto di interessi. 
Primo, non deve prendere ordini dalle altre funzioni aziendali, ma rispondere solo al board
Secondo, deve scegliere bene i suoi uomini all'esterno e all’interno dell’azienda. Quindi, deve avere ottimi consulenti informatici, legali, aziendali esterni e figure competenti all’interno, che lo possano supportare quando deve dire cose che all’A.D. non piacciono. 
Terzo, deve avere le palle, dire la sua e dirla chiaramente.

A queste condizioni, la scelta tra DPO interno ed esterno è indifferente sia sotto il profilo di legge, che nella pratica. 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy