Il DPO non può ricoprire ruoli di alta dirigenza

Privacy, Sicurezza informatica ,

Un recente provvedimento del Garante sloveno ha ribadito l’incompatibilità della funzione di DPO con ruoli di alta dirigenza (Amministratore Delegato, Direttore Operativo, Responsabile IT o HR o Marketing…) Perché? Lo vediamo insieme in questo articolo!

A 7 anni dall’introduzione del GDPR, il Garante Privacy si è trovato nella situazione di dover ribadire l’incompatibilità del ruolo del DPO con ruoli di alta dirigenza, sanzionando una società per aver nominato come Data Protection Officer il proprio rappresentante legale.

Secondo quanto prescritto dall’art. 38 del Regolamento Europeo, il DPO è infatti un soggetto designato dal titolare (o dal responsabile del trattamento) che ha il compito di assolvere, nei confronti dello stesso, a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione della normativa di protezione dei dati personali.

Il DPO è altresì una figura indipendente, che opera in piena autonomia e in assenza di conflitti di interessi, senza ricevere istruzioni per l’esecuzione dei suoi compiti (per i quali riferisce direttamente al titolare della realtà lavorativa).

La società in questione è stata dunque menzionata per aver designato come DPO il suo rappresentante legale, senza considerare che le due cariche sono incompatibili l’una con l’altra e senza darne comunicazione all’Autorità competente (oltre che per numerose violazioni del GDPR).

Il ruolo del DPO

Ma facciamo un breve ripasso: in cosa consiste il ruolo del DPO?

Il DPO è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo garantendo che un soggetto qualificato si occupi della materia, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Il ruolo del DPO è quello di tutelare i dati personali, non gli interessi del titolare del trattamento (ciò appare ovvio soprattutto nell’ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui). 

In forza dell’articolo 37, paragrafo 5 del GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Non sono specificate le qualità professionali da prendere in considerazione nella nomina di un DPO, tuttavia la normativa ci dice che devono essere pertinenti ad un’approfondita conoscenza della materia di protezione dei dati e del GDPR.Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Tale livello non trova una definizione tassativa: deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.

Inoltre:

  • è necessaria la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento; 
  • è opportuno avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

Per “capacità di assolvere i propri compiti” si intendono tanto le qualità personali e le conoscenze del DPO quanto la sua posizione all’interno dell’azienda o dell’organismo.

In generale, il DPO deve possedere solide conoscenze della normativa specifica in materia di protezione dei dati personali e deve avere competenze tecniche in ambito informatico e di sicurezza per identificare criticità e attuare interventi correttivi, oltre alla capacità di svolgere audit, valutazioni d’impatto, analisi dei rischi e sovrintendere la redazione della documentazione obbligatoria.

Riteniamo inoltre importante specificare che:

  • il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali;
  • non esiste alcun albo professionale, né alcun obbligo di nominare quale DPO dei soggetti che abbiano attestati o partecipazioni a corsi di formazione;
  • è invece richiesta e necessaria l’approfondita conoscenza della normativa e delle prassi in materia di privacy , nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • secondo l’autorità italiana di controllo è opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere.

Il DPO deve inoltre poter adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse.

Per questo il provvedimento del Garante sloveno del 24/03/2021 ha segnalato l’incompatibilità delle posizioni di alta dirigenza e altri ruoli subordinati nell’organizzazione aziendale, qualora tali incarichi o ruoli portino alla determinazione delle finalità e dei mezzi del trattamento.

Proprio per garantire l’autonomia del DPO, l’articolo 38 del GDPR stabilisce che il titolare e il responsabile del trattamento si comportino come segue:

  • devono assicurarsi che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti;
  • non possono rimuovere o penalizzare il DPO per l’adempimento dei propri compiti (in tal senso appare difficile ritenere che tale autonomia sia giustificabile nell’ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno);
  • devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito.

In sintesi

Il DPO è designato in virtù delle qualità professionali, cioè della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e delle capacità gestionali di assolvere i suoi compiti.

Ad oggi, non sono previste certificazioni obbligatorie per ricoprire tale ruolo, è sufficiente che la figura del DPO rispetti le seguenti caratteristiche:

  • avere una piena e profonda comprensione dell’ente per il quale svolge il suo ruolo e delle sue attività di trattamento;
  • essere facilmente raggiungibile;
  • conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati, compreso il GDPR;
  • essere capace di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile;
  • avere una buona comprensione delle attività IT (Information Technology) e della materia di gestione dati, nonché delle misure di sicurezza;
  • possedere conoscenze e competenze di risk management.

L’incarico del DPO non può essere ricoperto da un soggetto che si trova ai vertici aziendali, perché sarebbe in grado di influenzare le scelte adottate in materia di trattamento dei dati e dunque non potrebbe adempiere alle proprie funzioni in piena autonomia ed indipendenza, in assenza di conflitti di interesse (condizione fondamentale per poter ricoprire il ruolo di DPO).

Vorresti maggiori informazioni o un aiuto nell’individuare la figura più adatta a diventare il DPO della tua realtà aziendale? Contatta il nostro team per una consulenza personalizzata!

    Contattaci utilizzando il form sottostante:
    * = campi richiesti

    Nome*

    Email*

    Oggetto*

    Testo del Messaggio*