Secondo quanto prescritto dal GDPR, tra i vari obblighi ai quali le imprese devono ottemperare in materia di privacy c’è quello di riformulare il proprio organigramma acquisendo all’interno del personale la figura del DPO, ovvero del Data Protection Officer.
In verità, tale mansione è già inserita in diverse realtà europee. Basti pensare, ad esempio, all’ordinamento britannico, dove da anni c’è già il Chief Privacy Officer (CPO), il Data Security Officer e il Privacy Officer.
Dal maggio 2018 la presenza del DPO deve essere obbligatoria in tutti i Paesi membri UE, diventando di fatto un elemento fondamentale per la protezione dei dati personali. Oggi però questa figura così importante è oggetto di dibattito e controversie che hanno dato origine a varie interpretazioni del regolamento europeo in quanto ci sono differenti punti poco chiari, specialmente per quel che concerne le competenze e l’obbligo di nomina.
La figura del Data Protector Officer
Il Data Protector Officer (DPO) è una figura professionale la cui funzione è stata introdotta dal Regolamento Generale sulla Protezione dei Dati 2016/79, pubblicato in Gazzetta Ufficiale il 14 maggio del 2016. Già esistente in alcune legislazioni europee, il DPO è una categoria professionale che deve possedere competenze giuridiche, di analisi dei processi, di risk management e informatiche.
Il suo compito principale è di osservare e organizzare la gestione dei dati personali in azienda, cosicché questi siano impiegati nel rispetto delle norme europee e nazionali sulla privacy. Il nuovo regolamento sull’introduzione del DPO è entrato ufficialmente in vigore nel maggio 2018.
A livello europeo l’ex WP29 (Working Party article 29), oggi sostituito dallo European Data Protection Board (EDPB), ha emesso delle linee guida specifiche sul ruolo del DPO. In realtà, l’art. 37 del testo del regolamento non indica quali devono essere le qualità professionali di tale figura. Si intuisce però che la persona prescelta debba avere comprovata esperienza sulla legislazione inerente alla protezione dei dati personali a livello nazionale ed europeo e le prassi comuni.
Intanto, nel novembre 2021 l’Autorità garante per la protezione dei dati personali del Lussemburgo ha stabilito un requisito determinante per capire cosa significa comprovata esperienza. Si è quindi deciso che per nominare un DPO, questo debba avere almeno 3 anni di esperienza nel campo.
Nel caso poi degli enti pubblici, il DPO dovrebbe anche possedere una certa conoscenza di procedure e regole dell’organizzazione amministrativa. Quel che è certo è che il compito può essere assunto da un libero professionista e da un dipendente del titolare del trattamento dei dati.
In tal senso, c’è un ragionamento da fare che contribuisce ad inasprire le polemiche sull’attuazione forse troppo affrettata del regolamento. Infatti, c’è una discrepanza evidente tra la figura del dipendente che è legato ad oneri inerenti alla subordinazione e l’art. 38 del regolamento che definisce la posizione di indipendenza del DPO. Da ciò si capisce come la funzione di garante del DPO parta già con chiare difficoltà applicative.
L’art. 38 poi sancisce anche che il DPO non deve essere in alcuna posizione di conflitto di interessi. Probabilmente il legislatore europeo tenta di evitare facili nomine attribuite per affinità di mansioni. Per esempio, non sarà conforme l’ipotetica nomina a DPO del collega responsabile di ICT.
Quali compiti ha il DPO?
La responsabilità più importante per il DPO è di controllare la gestione del trattamento dei dati personali svolta dalle imprese pubbliche e private, in modo che tutto il materiale sia utilizzato nel pieno rispetto delle norme riguardanti la privacy. Andando nel dettaglio, i compiti del DPO vengono chiariti nell’art. 39 del Regolamento, il quale stabilisce che un DPO deve:
- Illustrare al titolare e al responsabile del trattamento dei dati gli obblighi di legge derivanti dal regolamento europeo o da altre norme UE in materia;
- Verificare l’osservanza del regolamento, sensibilizzando e istruendo il personale che è coinvolto nelle operazioni di trattamento dei dati personali;
- Dare pareri sulla valutazione d’impatto sulla tutela dei dati;
- Cooperare con le autorità di controllo, eseguendo consultazioni su qualunque altra questione.
Infine, il DPO deve essere un qualificato professionista in possesso anche di qualità manageriali e di organizzazione, così da poter suggerire eventuali cambiamenti di tipo tecnico e gestionale.
Quali imprese hanno l’obbligo di assumere il DPO?
Secondo l’art.37 del regolamento europeo, la nomina del DPO diventa un obbligo quando il trattamento dei dati è eseguito da un’autorità pubblica o organismo pubblico, escluse le autorità giurisdizionali nell’esercizio dei propri compiti.
Su tale aspetto è utile specificare che gli organismi di diritti pubblico sono quelli creati per rispondere ai bisogni di interesse generale di tipo non industriale o commerciale, forniti di personalità giuridica e con un’attività finanziata per gran parte dallo Stato. Inoltre, l’art. 37 afferma che vi è l’obbligatorietà della nomina del DPO per alcune imprese private.
È però in questo aspetto che le regole diventano più imprecise e fumose. L’articolo in questione sostiene che l’obbligo sussiste se le “core activities” del titolare del trattamento dei dati consistano in trattamenti che necessitano del monitoraggio su larga scala e sistematico. Ma cosa sono queste attività principali e che significa su larga scala? L’interpretazione è alquanto ardua e le stesse linee guida fornite non ci chiariscono definitivamente questi aspetti.
Titolo di studio e stipendio di un DPO in Italia
Per quanto riguarda il ruolo di DPO, non esistono diplomi o lauree specifiche per tale ambito, né certificazioni. Per diventare un Data Protection Officer, il presidente di Asso DPO Matteo Colombo ritiene che a contare siano soprattutto le qualità informatiche e più in generale la conoscenza delle normative sulla tutela dei dati a livello nazionale ed europeo.
Per acquisire tali conoscenze, può essere molto utile avere un titolo conseguito in campo giuridico o informatico e possono essere d’aiuto corsi di formazioni ad hoc. In aggiunta, avere esperienze di lavoro nel settore della privacy può essere un elemento determinante al momento dell’assunzione.
A proposito poi dell’aspetto puramente economico, lo stipendio medio di un DPO in Italia più toccare quota 70.000 euro all’anno. Andando nel dettaglio, una figura laureata in ambiti come Economia Aziendale, Giurisprudenza e Ingegneria Gestionale e specializzata nel settore, potrà guadagnare tra i 49.000 e i 100.000 euro annui.