DPO e supporto al DPO

Responsabile per la protezione dei dati personali (DPO)

Elaborazione di uno specifico ciclo di lavoro DPO

Attività di formazione del personale e del board

Partecipazione e supporto nella definizione dei progetti del Cliente in ottica Privacy by design e Privacy by default

Sorveglianza e auditing sulla corretta applicazione del GDPR e del Codice Privacy

Sorveglianza e supporto nella redazione di DPIA ove necessario

Cooperazione e contatto con il Garante Privacy

Aggiornamento del Registro delle attività di trattamento

Il Data Protection Officer (DPO) altrimenti chiamato Responsabile per la protezione dei dati personali (RPD) è una figura di introduzione relativamente recente.

In alcuni Stati dell’Unione Europea era già attiva e conosciuta come Privacy Officer (CPO), o Privacy Specialist. Provando a descriverlo in poche parole, si tratta di un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) indipendente dai rapporti dell’organigramma con competenze trasversali, principalmente giuridiche, informatiche, di analisi dei rischi e di processi.

In alcuni schemi di certificazione professionali (es. UNI 11697:2017) vengono assegnati al DPO anche profili di conoscenza psicologici e formativi. Il suo compito principale è supportare il Titolare o il Responsabile del trattamento nell’applicazione della normativa in materia di protezione dei dati personal.

Più nello specifico, il GDPR individua in capo al DPO i seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR

b) sorvegliare l’osservanza del GDPR e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità̀, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attivit̀à di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento

In realtà ricoprire il ruolo di Data Protection Officer presso una qualsiasi Organizzazione, sia essa pubblica o privata, richiede molto di più di quanto già detto.

E’ necessario affiancare davvero il Titolare o il Responsabile nelle sue scelte aziendali, in modo da guidarlo nel compiere scelte relative ai trattamenti che siano davvero a tutela degli interessati e – di conseguenza- a tutela dell’Organizzazione stessa.

Capita molto spesso che tale aspetto professionale del DPO venga letto come un’ingerenza impropria all’interno dei meccanismi decisionali dell’Organizzazione. Secondo l’esperienza maturata dal nostro Studio, e che vogliamo condividere nel dialogo con i nostri Clienti, tale dinamica avviene per due ragioni: o il board dell’Organizzazione non accorda alla materia privacy l’ importanza che merita, sottostimandone l’impatto in termini di business design, oppure – pur avendo intuito le responsabilità connesse al trattamento di dati personali degli interessati- non comprende sino in fondo le logiche e i principi che sottendono e guidano la materia.

E’ per questo che ogni nostro ciclo di lavoro come DPO inizia con la formazione. Parlarsi chiaro è d’obbligo, specialmente all’inizio di un percorso di conformità relativo ad una normativa di taglio tanto tecnico quanto quotidiano come questa, dove il rischio di ridurre il tutto a una… inefficace burocrazia è sempre dietro l’angolo.

All’inizio del nostro cammino come Data Protection Officer nessuno dei professionisti dello Studio aveva chiaro quanto potesse essere determinante il ruolo del DPO (nel nostro caso esterno) nel contesto di un’azienda o di un Ente pubblico.

È solo con la pratica, costante e determinata, che abbiamo scoperto quanto la protezione dei dati personali potesse diventare un’occasione unica per il Titolare o il Responsabile del trattamento, permettendogli di riprendere il governo dei suoi processi e adeguare (tra le altre cose) anche le misure di sicurezza accordate alle sue attività.

Abbiamo scoperto che esiste un modo più eticamente sostenibile di trattare i dati personali rispetto a quello cui le logiche della dato-crazia ci hanno abituato.

Abbiamo guidato decine e decine di Organizzazioni nel processo di conformità alla normativa in materia di protezione dei dati personali, e continuiamo a farlo anche oggi dopo più di venticinque anni, mostrando loro come sviluppare in totale autonomia procedure coerenti con le regole del Regolamento e funzionali al loro tipo di business.

Il ruolo del DPO, per noi, non è che la cristallizzazione di questa fiducia in un nome.

Supporto ai Responsabili per la protezione dei dati personali

Capita molto di frequente che il Data Protection Officer (DPO) di un’Organizzazione, nell’esecuzione dei compiti che gli sono riconosciuti dal GDPR si trovi nella condizione di dover affrontare un nemico invisibile, al quale nessuno aveva pensato a inizio incarico: il tempo.

Le necessità operative diventano pressanti, e spesso il DPO non è messo in condizioni di poter svolgere adeguatamente la sua attività non tanto per ragioni tecniche, quanto per ragioni legate alla carenza di tempo per formarsi, seguire i quesiti e le attività di sorveglianza/auditing richiesti dal Regolamento nel quadro degli adempimenti imposti alla sua Organizzazione.
Orlandi&Partners Studio Legale, anche per rispondere a quanto prescritto dal GDPR in tema di risorse e tempo adeguato da riconoscere al DPO, ha scelto di sviluppare un programma di supporto specificamente ideato per risolvere criticità di questo tipo, partendo proprio dalle richieste pervenute negli anni dai suoi Clienti.

I nostri Professionisti, di norma tramite un certo numero di “token” messi a disposizione del Cliente, con SLA definiti e garantiti, da realizzare sia in house che da remoto, sono in grado di supportare attivamente i DPO interni nella gestione delle pratiche quotidiane legate alla protezione dei dati personali nel contesto della loro Organizzazione.

In questo modo il DPO interno riceve una formazione aggiornata sul campo e viene rimesso in condizioni di garantire concretamente lo svolgimento adeguato dei compiti a lui assegnati dalla normativa.

Se desideri ricevere più informazioni sulle modalità o tempi relativi al servizio di supporto al DPO, contattaci!

Non esitare a contattarci

Siamo a disposizione per un confronto senza impegno.
Scrivici