skip to Main Content
Peculiarità E Caratteristiche Nella Redazione Del Contratto Di Nomina Per La Figura Del DPO

Peculiarità e caratteristiche nella redazione del contratto di nomina per la figura del DPO

La figura del DPO riveste un ruolo importante nelle aziende pubbliche o private per il raggiungimento della necessaria compliance al GDPR. Ecco un utile vademecum sui compiti operativi e sulle caratteristiche che deve avere un buon Data Protection Officer.

Come ben noto il Regolamento UE 2016/679 regolamenta agli articoli 37 e segg. la figura del DPO (Data Protection Officer) o RPD (Responsabile Protezione dati) individuando i soggetti tenuti ad avere questa figura, disciplinando i compiti che deve assumere e dettando le regole per una corretta designazione.

In particolare, le autorità pubbliche o gli organismi pubblici sono tenute a designare un DPO, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.

Il Garante, al bisogno, ha specificato che allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice dei contratti, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

La figura del DPO: i compiti operativi

I compiti minimi del DPO sono specificati nell’art. 39 del GDPR:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Caratteristiche del DPO

Da detto elenco siamo in grado e possiamo stilare l’elenco delle caratteristiche per individuare un buon DPO.

Il DPO deve avere una conoscenza specialistica della normativa e delle misure di protezione dei dati, deve essere un buon negoziatore e deve essere in grado di mettere a proprio agio i soggetti con i quali entra in relazione.

Una caratteristica indispensabile di un buon DPO è l’empatia, cioè la capacità di mettersi nei panni dell’altro, di comprenderlo, di entrare in sintonia con lui, d’immedesimarsi con la di lui realtà, di ottenere fiducia al fine di ottenere che l’altro aderisca ai consigli e ai suggerimenti forniti dallo stesso DPO.

Il DPO deve anche avere la capacità di adempiere ai propri compiti. In sostanza dev’essere un buon manager. Si potrebbe definire “il manager della privacy in quanto partendo dalla struttura organizzativa dell’azienda e dall’organigramma della stessa deve fornire consigli, dare informazioni al fine di ridefinire i ruoli, le posizioni sempre in un’ottica di trattamento dei dati personali.

È colui che deve ben comprendere la realtà aziendale, comprendere le dinamiche, conoscere ogni convenzione e contratto adottato dall’azienda al fine di poter consentire un corretto trattamento dei dati nel rispetto del Regolamento e delle norme nazionali.

Non si comprende come si possa essere DPO in un’azienda senza conoscere l’azienda stessa, senza conoscerne i soggetti che vi svolgono attività e senza conoscere le figure coinvolte nei vari processi aziendali. Il ruolo del DPO non è un ruolo formale.

È un ruolo fondamentale all’interno di un’azienda. È un ruolo che consiste in relazioni, in confronti, in approfondimenti… è un ruolo profondamente umano e così dev’essere vissuto e fatto vivere a coloro che lo circondano.

Il DPO può essere un dipendente o libero professionista ma è fondamentale che venga coinvolto in tutte le scelte che hanno a che fare con l’azienda/struttura. Deve avere ampia autonomia, non ricevere istruzioni sui suoi compiti (art 36). Riferisce al CDA, all’amministratore unico o ai massimi vertici.

Il Garante ha caldeggiato, per l’ambito pubblico, la designazione di DPO interni, ma “alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione”.

Criteri per la scelta di un buon DPO

Il DPO deve essere nominato dal titolare o dal responsabile del trattamento, identificati come i rispettivi vertici e nel caso in cui non sia la figura apicale a nominare il DPO, l’eventuale soggetto incaricato dovrà agire in presenza di espressa delega.

Una buona pratica di accountability è quella di illustrare brevemente nella delibera di nomina le motivazioni e il percorso che il titolare ha seguito per decidere di dotarsi di un DPO all’interno della sua organizzazione. Nella scelta del DPO occorre tener conto dei titoli acquisiti, dell’esperienza maturata sul campo, delle capacità di negoziazione. Insomma i fattori in gioco sono molteplici.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.

La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

La figura del DPO interna all’azienda

Il DPO interno non dovrà avere conflitti d’interesse, quindi non potrà essere un soggetto che “comporti la definizione delle finalità o modalità del trattamento di dati personali”, quali l’amministratore delegato, il direttore del marketing, il direttore delle risorse umane, il responsabile IT o comunque altri soggetti interni dell’azienda che non possono e non sono in grado di operare in condizioni d’imparzialità.

Inoltre dovrà possedere quelle “conoscenze specialistiche” richieste dalla legge, dovrà avere il tempo di fare il DPO (elemento questo non scontato ma fondamentale), dovrà essere raggiungibile nel senso di avere la possibilità di contattare agevolmente il DPO. In caso di ispezione il primo soggetto che verrà chiamato in causa sarà unicamente il titolare e non il DPO anche se questo dovrà restare a disposizione dell’Autorità di controllo per riscontri e confronti con la stessa.

Quando il DPO può essere esterno all’azienda

Sono molteplici le domande da fare al DPO esterno prima di decidere se lo stesso potrà entrare a far parte della vostra realtà aziendale. Vediamole insieme:

  • da quanto tempo opera nel capo della protezione dei dati e della sicurezza dei dati e dei sistemi? Con quali tipologie di aziende è entrato in contatto? Quali sono i titoli posseduti?
  • quali titoli possiede? Ha delle certificazioni? Ha frequentato master specifici in tema di trattamento dei dati personali?
  • quali sistemi informatizzati di trattamento dei dati conosce?
  • possiede delle competenze in merito ad analisi e gestione dei rischi? Ha conoscenze in tema di compliance aziendale?
  • ha già operato come DPO presso altre PA o organizzazioni affini?
  • si trova per qualche motivo in conflitto d’interessi;
  • dove ha sede il suo ufficio/la sua azienda e com’è composto il suo team?
  • come si aggiorna sui temi della protezione dei dati e della sicurezza dei dati e dei sistemi?
  • possiede un’assicurazione e con che massimali?

Le clausole nell’atto di designazione a DPO

Il DPO esterno viene nominato sulla base di un contratto di servizi, le cui clausole principali sono:

obbligo di riservatezza. Il DPO è tenuto a mantenere il massimo riserbo su ogni questione relativa al trattamento dei dati specie quando si tratta dei dati particolari ai sensi degli artt. 9 e 10 del Reg. Ue;

tempistica (il network dei DPO suggerisce una durata che vada dai 3 a 5 anni). Ciò al fine di consentire al DPO di entrare nella realtà aziendale, di conoscerla e poter svolgere una buona attività relativa al trattamento dei dati; •

obbligo di riferire direttamente ai livelli più alti dell’organizzazione. Occorre inserire l’obbligo di aggiornamento costante e periodico all’organo di vertice che è e resta il primo responsabile in caso di data breach o in caso di ispezione da parte dell’Autorità di controllo;

  • obbligo di flussi informativi per il coinvolgimento. Occorre, ad esempio, individuare un team di supporto all’interno dell’organizzazione che riferisca al DPO le problematiche di ogni funzione. Occorre individuare un referente della protezione dei dati che vada istruito, formato e che possa fungere da riferimento per il DPO sulle principali questioni relative al trattamento dei dati.
  • assenza di conflitti d’interesse. Occorre inserire un’apposita dichiarazione di assenza di conflitti d’interesse allo scopo di tutelare il titolare in caso di contestazioni;
  • modalità per contattare il DPO da parte del personale che tratta dati per conto del titolare;
  • clausola in cui si stabiliscono le tempistiche relative alla disponibilità del DPO;
  • autorizzazione a comunicare i suoi dati di contatto all’esterno e all’Autorità di controllo;
  • clausole di limitazione della responsabilità;
  • tempi di risposta ai quesiti e ai pareri richiesti tenuto conto del livello di complessità degli stessi;
  • clausole specifiche in cui si disciplinano le modalità di informazione da parte del DPO e le conseguenze relative all’omesso riscontro e adesione da parte del titolare alle prescrizioni impartite dal DPO.

La diligenza richiesta al DPO

Per quanto riguarda la diligenza nell’adempimento, si può richiamare il secondo comma dell’art. 1176 c.c. “Nell’adempiere l’obbligazione il debitore deve usare la diligenza del buon padre di famiglia. Nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata“.

Il principio esposto è quello della diligenza qualificata. Per giurisprudenza prevalente (Cass. Civ. 10165/2016) detta diligenza si estrinseca nell’adeguato sforzo tecnico, con impiego delle energie e dei mezzi normalmente e obiettivamente necessari o utili in relazione alla natura dell’attività esercitata, volto all’adempimento della prestazione dovuta e al soddisfacimento dell’interesse del creditore, nonché a evitare possibili eventi dannosi”.

Alla luce di quanto indicato ritengo che il ruolo del DPO abbia un’importanza fondamentale e vada svolto con coscienza e responsabilità, senza improvvisare e impegnandosi ad approfondire costantemente ogni aspetto nuovo o innovativo dovesse presentarsi di fronte al professionista.

FONTE: Cybersecurity360

Back To Top