Come si fa il DPO in azienda: dialogo tra titolare e DPO

08 aprile 2020Ultimo aggiornamento 28 maggio 2020
Tempo di lettura stimato: 13'
Come si fa il DPO in azienda? È una domanda spinosa. Potrei dire che servono esperienza, formazione e competenza. E sarebbe verissimo, sono qualità indispensabili, ma non basterebbero. Per fare il DPO in azienda serve fegato, bisogna essere bravi a fissare dei confini e a mantenerli. Bisogna farsi rispettare. È un compito duro quello del DPO. È una missione. 

La missione del DPO: accompagnare verso la consapevolezza

Il Data Protection Officer consiglia e controlla, ma prima accompagna il titolare del trattamento verso la consapevolezza. Essere consapevoli, lo dico e lo ripeto, è il punto di partenza per la compliance al GDPR. Ma la consapevolezza non può essere imposta, deve partire da dentro. Allora ho ipotizzato come dovrebbe essere un dialogo tra DPO e titolare del trattamento. Un dialogo che, attraverso le domande e le risposte – in stile Platonico – aiuta il titolare a capire qual è il suo ruolo nel trattamento dei dati personali e qual è la funzione vera del Data Protection Officer. 
 
I protagonisti di questo dialogo immaginario sono Andrea Kaiser, il mio alter ego, questa volta nei panni di un DPO esterno e l’amministratore delegato di una grande azienda, Silverio Faz (personaggio di fantasia).

Andrea Kaiser e la maieutica del GDPR

KAISER: Caro Silverio, come stai? 
FAZ: Sto bene, Andrea, grazie. Finalmente ci ritroviamo. Ti confesso che ero un po’ in ansia. Ora che la tua attività di DPO per noi è iniziata, sono più tranquillo. Ma ho alcune domande da farti, perché voglio partire con il piede giusto, come mi hai consigliato la prima volta che ci siamo visti, quando ancora stavamo valutando se nominare un consulente o affidarci direttamente ad un DPO esterno.

KAISER: Benissimo, ti ascolto.
FAZ: La prima cosa che volevo chiederti è questa: mi hanno detto che in azienda devo avere il registro dei trattamenti. Abbiamo definito il budget per fare questo, ma non so che cosa è stato fatto. Quindi come prima attività da DPO, vorrei chiederti di fornirmi un registro dei trattamenti adeguato, perché mi hanno detto che è una delle prime cose che controllano durante la visita ispettiva. Vorrei sapere che cos'è e se posso non farlo… Ma se proprio lo devo fare, ti chiedo se me lo puoi produrre velocemente.

KAISER: Bene, sono contento che come primo punto della scaletta tu abbia scelto proprio la redazione del registro dei trattamenti. Anche perché, prima che entrasse in vigore GDPR, c'era un altro documento. Forse lo ricordi. Noi che lavoriamo nel settore da anni lo abbiamo sempre chiesto alle aziende. È il DPS, il Documento Programmatico sulla Sicurezza? Lo avete tenuto?
FAZ: Sì, sì, anche se non era obbligatorio lo abbiamo tenuto.

KAISER: Allora partiamo da quello, che è un primo abbozzo, anche se è meno esaustivo del registro dei trattamenti. Così è più facile capire di cosa stiamo parlando. Se ricordi ti aiutava a mettere ordine nei trattamenti che facevi, nei dati che trattavi, come li usavi e così via. Sei hai presente il DPS, hai già un'idea di base.
FAZ: Sì più o meno ho capito, ma cosa cambia rispetto al registro?
KAISER: Il registro è più completo e chiede qualcosa di più. La ragione, pensa, è quella di toglierti delle zavorre burocratiche
FAZ: Ma come? Mi stanno chiedendo di tenere dietro ad un altro documento…
KAISER: Sì, ma per un motivo. Sia il registro dei trattamenti che la nomina del DPO sono 
due forme di mitigazione previste dal GDPR per eliminare altri obblighi di legge. Se ricordi, la vecchia direttiva sulla privacy obbligava il titolare del trattamento a fare una serie di cose, tra cui la notificazione dei trattamenti all'autorità. 
FAZ: Lo ricordo vagamente…

KAISER: Bene. Poi, nel 2003, con la 196, che ha riscritto le norme sulla privacy, il Garante ha capito che tutte queste incombenze andavano semplificate, perché erano una zavorra per le aziende e pure per la sua attività. Era un adempimento burocratico fine a sé stesso. Non uno strumento che garantiva che l’azienda fosse effettivamente conforme alla normativa.
FAZ: Questa è una buona notizia, però non ho ancora capito perché mi chiedono di fare un altro documento, se tanto basta dichiarare che la mia azienda è in regola con il GDPR.

KAISER: Il punto è proprio questo, Silverio. Non basta dichiararlo. Il Garante prima e i legislatori europei dopo non hanno mai voluto che la compliance fosse solo formale. Hanno ribaltato la questione: non ti chiedono di dichiarare che sei conforme, ti chiedono di dimostrarlo. Per questo ti dicono: bene, ti ho tolto la zavorra della notifica obbligatoria, ma tu, titolare del trattamento, devi essere proattivo. Devi dimostrare che aderisci al Regolamento anche nei fatti, non basta un pezzo di carta. 
FAZ: Quindi il registro serve a questo?
KAISER: Il registro è uno degli strumenti che ti permettono di dimostrare la tua accountability, cioè che sei consapevole, competente e responsabile dei dati che tratti. Il Garante adesso ti dice: non venirmi più a dire cosa fai. Decidi tu, titolare del trattamento, quali dati trattare e come, ma fallo bene. Non ti chiedo di inviarmi un documento tutti gli anni, entro una certa data, né come sei stato bravo. Ti chiedo di dimostrarmi che sei maturo, che hai cultura d’impresa, che sei credibile. Dimostra di avere le redini della situazione e di mettere in campo una serie di presidi: il registro, il DPO, la formazione agli addetti e ai responsabili esterni… Quindi, per tornare alla tua richiesta: non è il DPO il soggetto che scrive il registro dei trattamenti. Il DPO consiglia e controlla, non fa le cose al posto tuo.
FAZ: Eh ma, io ho pagato te per farlo...
KAISER: No, tu mi hai pagato perché ti aiutassi - con la consulenza ed il controllo - ad essere compliant. E questo significa che potrei anche dirti delle cose poco piacevoli. Tu sei l’amministratore delegato Silverio, io parlo con te perché se i tu che decidi. Non parlo con il direttore marketing, quello delle risorse umane o tutti capi e capetti che sono sotto di te. Io parlo con te, ti dico la mia, ma sei tu che prendi le decisioni

FAZ: Ho capito. Spetta a me, ma allora il registro a chi lo faccio fare?
KAISER: Guarda, puoi farlo anche tu con un banalissimo file di Excel, perché la legge non ti obbliga ad usare un software o quant’altro per compilare il registro dei trattamenti. Se la tua fosse un’aziendina con 15 dipendenti potrei anche chiudere un occhio. Ti potrei dire che il registro non te lo faccio, ma ti aiuto a costruirlo. Però, visto che la tua è un’azienda grande che vuol fare le cose per bene, ti lascio io un riferimento. Contatta PrivacyLab e usa il loro modello, che funziona benissimo, è certificato e pensato cum grano salis. L’importante è che tu abbia un documento in cui tieni traccia dei trattamenti che fai, delle finalità, della natura dei dati che tratti e degli strumenti della retention, cioè dei tempi di conservazione. 
FAZ: Quindi il registro lo faccio fare ad un consulente PrivacyLab e tu poi cosa fai?

KAISER: Io te lo controllo. Però sono un DPO esterno, non un DPO interno, quindi mi devi dare accesso ad un’area riservata dove posso entrare con un VPN o nel modo che decidi tu. Ma devo poter accedere al registro in qualsiasi momento e senza passare attraverso di te per chiederti il permesso. Perché devo essere indipendente e potermi scrivere da qualche parte che sono andato sul registro nella tal data, ho verificato se era aggiornato oppure no. Se vedo che sono 6 mesi che il registro è sempre uguale o che non ci ha mai messo le mani nessuno, vengo da te. 
FAZ: Ma quindi non ho nessun controllo…

KAISER: Ce l’hai se dimostri la tua accountability, perché hai messo in piedi dei processi chiari e sai che cosa stai facendo. Silverio, non mi paghi perché io ti faccia un torto. Mi paghi perché io ti faccia da specchio su come tratti i dati. Se vedo che non aggiorni il registro per mesi, ho l’obbligo di fartelo presente. È possibile che un'azienda con una struttura tecnologica come la tua, in un mese, non abbia neanche un cambiamento rispetto a mezzi, finalità, tipologia di dati trattati?
FAZ: Aspetta un attimo. Sì, è vero che abbiamo un’infrastruttura tecnologica importante. E adesso che ci penso, quando a maggio è arrivato il GDPR abbiamo fatto una volata per adeguarci. Nel 2019 siamo stati stabili e adesso che siamo nel 2020 non è cambiato niente. Quindi, sul registro non ci sarebbe niente…

KAISER: Prendo atto. Tieni conto, però, che il Garante quando ti controlla, guarda come eri prima e come sei adesso. Vuole vedere se sei cresciuto, se sei migliorato nella compliance al GDPR, nell'essere accountability. Se gli dici così, anche il Garante ne prende atto, purché tu possa dimostrarlo. Cioè ti chiede di dimostrare che il registro non è aggiornato perché non c’è stato motivo di aggiornarlo e di dimostrare che il rischio residuale sui dati che tratti è basso. Se non cambia niente, non fai niente. Ma se ci sono dei cambiamenti 10 volte al mese – banalmente, assumi una nuova persona, qualcuno perde una chiavetta con dentro i nomi di chi usa la mensa aziendale, rubano un computer eccetera – devi registrarli. Devi farlo tu, in quanto titolare del trattamento, incaricando un addetto, se vuoi, che può essere la tua segretaria o un’altra persona fisica che lavora per te, ma spetta all’azienda non al DPO. Io devo solo controllare. 
FAZ: Va bene, ho capito. Vedo che la responsabilità è mia e che avevo male interpretato il compito del DPO. Per piacere, passami quel contatto di quell’azienda che mi dicevi per scrivere il registro. Però avrei un’altra domanda da farti. Abbiamo delle macchine aziendali, le usano diversi dei nostri dipendenti, soprattutto i commerciali che girano per andare dai clienti. Sulle macchine aziendali c’è il Telepass. Mio cugino, che è avvocato, mi ha detto che devo togliere il Telepass perché è un trattamento non consentito. Adesso mi è ben chiaro che devo attrezzarmi e soprattutto che devo alzare la mano e chiederti un consiglio quando naso che sto trattando dei dati. Quindi ti domando: devo togliere il Telepass? Ma poi come facciamo senza? Oppure c’è qualcosa di particolare che posso fare?

KAISER: Allora, partiamo da un concetto. La tecnologia non è una novità degli anni 2.000. Tecnologia è anche la lancia che usavano i nostri antenati per cacciare 400.000 anni fa. La tecnologia di per sé è una cosa neutra. È sempre stata neutra. Dipende da come la usi. Ma quando la usi e ti adegui a determinate regole di base, va bene. Ne approfitto per fare un inciso. Anche se non me l’hai chiesto, vorrei rispondere ad una domanda importante: c’è qualcosa che non puoi fare mai? La risposta è sì. Quello che non puoi fare mai è l’analisi profilata sui cosiddetti dati sensibili, che adesso si chiamano dati particolari: l’analisi delle malattie, degli orientamenti sessuali, della vocazione religiosa eccetera per fini di marketing e di vendita. Questo non lo puoi fare. Non lo puoi fare neanche se ti danno il consenso! Quello che invece puoi fare è tutto il resto, ma seguendo le regole. Torniamo al Telepass. Se ho capito bene quello che dice tuo cugino è che il Telepass può creare dei problemi legati alla geolocalizzazione.
FAZ: Sì, c’è la questione del controllo a distanza del lavoratore…

KAISER: Be’, innanzitutto bisogna capire che cos'è la geolocalizzazione. La geolocalizzazione non è solo la capacità di vedere dov'è un automezzo su una mappa, ma è la capacità che la tecnologia ti offre di seguire l'automezzo in movimento. Misura lo spostamento del veicolo. E su questo c'è già un provvedimento sanzionatorio del Garante. Il Telepass geolocalizza? No, non è un dispositivo costantemente acceso che a ogni metro che tu fai mi fa vedere dove ti trovi. Il Telepass non è uno strumento di geolocalizzazione, quindi non richiede assolutamente alcun tipo di cautela intesa come geolocalizzazione. 
FAZ: Bene…

KAISER: Aspetta. Questo vale per le situazioni normali. Se però hai il fondato sospetto che un tuo lavoratore utilizzi la macchina aziendale durante l’orario di lavoro per andare a fare il furbino con le donnine appostate in tangenziale e passa sempre dallo stesso casello autostradale di Modena nord, la cosa cambia. Prima di tutto, devi tenere conto delle norme di diritto del lavoro e se hai un fondato sospetto, puoi chiamare l’avvocato che insieme all’agenzia investigativa farà un controllo. Quello che non puoi fare è un controllo fai da te. Questo tipo di analisi devi farla sempre all'interno delle regole. 
FAZ: Ma quindi posso usare i dati del Telepass?

KAISER: Sì, certo, se servono per la fatturazione, per i pedaggi autostradali eccetera. Ma se poi ti stampi la lista di tutti quelli che sono usciti a Modena nord per fare adescamento e li appiccichi in bacheca, ti si dovrebbero drizzare le antenne... Dovrebbe venirti il dubbio che forse quel trattamento lì non è da fare... Ma non è il Telepass in sé, è come lo stai usando. Così è più chiaro?
FAZ: Sì, grazie. Adesso è molto più chiaro. Senti, già che ci siamo, mi aiuti a chiarire un’altra cosa? Noi per prenotare i viaggi dei nostri dipendenti in tutto il mondo usiamo un'agenzia viaggi esterna che gestisce la prenotazione dell'hotel, del treno e dell'aereo attraverso il suo portale, dove i nostri dipendenti si registrano, mettono dentro le date, caricano le copie dei passaporti eccetera e che passano per il Cloud. Mi ha chiamato proprio stamattina il responsabile dell'agenzia viaggi per dirmi che sono entrati gli hacker russi nel suo sistema, hanno rubato tutte le informazioni che c'erano sul portale e le hanno messe in vendita nel dark web. Ne approfitto, visto che ora ci sei tu, per chiederti un consiglio su come dobbiamo fare.

KAISER: Hai fatto bene a dirmelo. Qui ci sono diversi elementi da considerare. C'è un problema legato al trasferimento di dati fuori dai confini dell'Unione Europea, che è un trasferimento di dati all’estero, e poi ce n’è uno legato alla violazione dei dati e alle responsabilità. Prima cosa. L’agenzia viaggi è un responsabile esterno o un titolare autonomo del trattamento secondo te?
FAZ: Un responsabile esterno.
KAISER: Alt! Il responsabile esterno è un soggetto a cui deleghi le attività che potresti fare tu, ma che preferisci dare fuori. Parliamo di attività tipiche. Quindi bisogna distinguere tra soggetti terzi a cui esternalizzi una funzione aziendale, per esempio chi ti fa le buste paga, e terzi a cui ti affidi per attività che tu non puoi fare perché non è una tua attività tipica. L’agenzia viaggi di cui mi stai parlando non fa un’attività che è vostra tipica, giusto? 
FAZ: No, la nostra è un’azienda produttiva. 

KAISER: Bene, quindi non sei obbligato a nominare l’agenzia viaggi come responsabile esterno. Da parte sua, l’agenzia sta facendo trattamenti per fini e mezzi propri. È un titolare autonomo. Come sai c’è differenza tra Titolare, Co-titolare, Responsabile e Addetto. Se fosse un responsabile esterno, avresti il dovere di chiedere come tratta i dati che gli affidi, ma ad un titolare autonomo come l’agenzia viaggi non lo devi chiedere. Premesso questo, ci sono altri problemi. Uno è il Cloud. C'è un provvedimento del Garante del 2010 che dice questo: il Cloud in sé non crea una giurisdizione extra europea, ma il titolare di un trattamento, se decide di dare i dati ad un fornitore di servizi Cloud, deve stipulare un contratto e capire chi è, cosa fa che giurisdizione ha. Faccio un esempio classico: se il contratto che stipuli per usare il Cloud di Google è Google Ireland e non Google inc. stai facendo un contratto con un soggetto sottoposto alla giurisdizione europea e che quindi deve attenersi al GDPR. Se è con Google inc. invece no, perché è in un paese terzo. Quindi dobbiamo approfondire. Per piacere cerca di chiarire un po' meglio come funziona il rapporto con l’agenzia viaggi.

FAZ: Allora, io all'interno dell'ufficio risorse umane ho due persone – due dipendenti – che si coordinano con l’agenzia. Recuperano i passaporti, gestiscono tutti viaggi in Europa, in strutture alberghiere europee eccetera. Poi parlano con l'agenzia viaggi esterna, caricando tutte le informazioni sul suo portale, e questa a sua volta verifica la disponibilità degli alberghi europei, prenota i viaggi eccetera. Tant’è che io, come azienda, non ho ancora capito sei miei 2 addetti stanno lavorando per me o per conto della agenzia… Perché l'agenzia mi ha messo a disposizione il suo server con sede in Italia, dove i miei addetti caricano e prenotano tutte le informazioni… la situazione è complessa!
KAISER: Il punto è che non sempre c'è una perfetta coincidenza tra il diritto privato – quindi i contratti – e le figure privacy e GDPR. Quindi per alcuni aspetti il Regolamento non c’entra. Se limitiamo la questione al GDPR, i due titolari del trattamento, tu e l’agenzia in questo caso, restate responsabili a casa vostra. Quindi, per esempio, se il tuo dipendente che inserisce i dati nel portale ruba delle informazioni e le rivende, è un problema tuo, te la vedi tu perché la gestione del data breach legato al furto di dati interessa te. Invece, le cose cambiano se il portale è un colabrodo e i dati sono stati rubati per questo motivo. Non è tua la responsabilità, ma della controparte, l’agenzia viaggi, che è titolare autonomo. 

FAZ: E se nomino l'agenzia responsabile esterno faccio un guaio?
KAISER: No, non è una grossa cosa. Mi può anche star bene che tu e l'agenzia abbiate deciso di regalarvi così. Però non sta facendo un servizio proprio tuo tipico. Per legge potresti sia nominarlo responsabile esterno oppure verificare che si comporti da titolare e nomini la tua azienda responsabile esterna in quanto alcune attività che servono a lui vengono fatte da tuoi dipendenti. Considera anche che c’è un altro aspetto importante che devi tenere a mente. Con il GPDR, a differenza del passato, oggi il responsabile esterno ha piena responsabilità dei trattamenti che fa. Una volta era responsabile il titolare, oggi anche il responsabile esterno si becca la sanzione, il dolo, la colpa grave e così via… quindi che tu lo nomini o no, in quanto titolare o in un quanto responsabile esterno, poco importa, cambia la operatività .

FAZ: Mi è chiaro. Andrea, ti ringrazio. All’inizio l’idea di dover nominare un DPO non mi allettava molto, lo confesso, ma oggi ho capito che senza il tuo aiuto sarei andato alla deriva. Mi hai aperto gli occhi e mi è chiaro anche qual è il tuo ruolo, che non è semplice. Vieni, ti presento i direttori dei vari uffici, così mettiamo subito in chiaro che risponderà solo a me e che non sei qui per farti dire cosa fare, ma che sono loro che devono ascoltare il tuo consiglio.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy