I dati del rapporto Clusit di marzo 2019 rivelano che il DPO è presente formalmente nel 65% delle organizzazioni, mentre nel 6% dei casi si tratta di una presenza di tipo informale (un soggetto che svolge i compiti del DPO senza essere ufficialmente nominato tale). I risultati della ricerca evidenziano nel 2018 un incremento del 46% di società che hanno introdotto il DPO nella propria organizzazione; è diminuita sia la quota di rispondenti che ha dichiarato di volere introdurre la figura nel prossimo futuro (5% contro il 57% del 2017), sia la percentuale di imprese che ritengono di non introdurla (6% contro il 15% del 2017).
L’incremento indicato non riflette però l’effettiva consapevolezza, da parte dei designanti, del ruolo e delle responsabilità del DPO, con il rischio che sotto diversi profili la nomina di tale figura si traduca (e si sia tradotta) in una “non conformità”. Occorre, a questo punto, chiedersi: perché valutare la conformità della scelta di un DPO? Quali elementi devono essere considerati?
La normativa
La questione della possibile non conformità era stata sottolineata anche nell’articolo “Il DPO e il rischio di conflitto di interessi: profili e allocazione delle responsabilità” . L’indagine per rispondere alle due domande deve partire, in primo luogo, dalla valutazione delle ragioni che spingono una società a dotarsi o meno del DPO. Si ricorda che, al di là dei casi strettamente obbligatori indicati dall’art. 37 GDPR e delle limitate casistiche individuate dal WP29 nelle Linee-guida del 13 dicembre 2016 sui responsabili della protezione dei dati (ad esempio, le banche), negli altri casi è demandata al titolare del trattamento ogni scelta in merito alla nomina del DPO.
Ad oggi possiamo dire che, nonostante appaia notevolmente cresciuta la sensibilità del management sul tema della protezione dei dati (considerato che circa il 63% delle organizzazioni ha rilevato tale circostanza: cfr. Rapporto Clusit 2019, cit., pag. 156), le ragioni che spingono gli enti a implementare volontariamente il proprio organico con il DPO rispondono più a una logica di forma che di sostanza, considerando (erroneamente) l’inserimento formale del DPO una “ prova” del proprio adeguamento al GDPR oppure nell’ottica di demandare in tale modo tutte le attività di adeguamento a tale figura, sgravandone il titolare. Emblematico sul punto è il numero di comunicazioni dei dati di contatto di DPO nominati nel territorio nazionale pervenute al Garante già nel settembre 2018 (quindi, solo dopo 4 mesi dall’entrata in vigore del regolamento): più di 40.000. Seppure una parte delle comunicazioni sia riconducibile agli enti obbligati a nominare tale figura, resta il fatto che un numero così elevato solleva più di qualche perplessità in merito alla effettiva corrispondenza della nomina alla posizione assunta dal soggetto designato.
In molti casi l’incarico del DPO viene di fatto “snaturato” (quando non addirittura confuso con altre possibili figure professionali, come quella del Privacy Manager o del Privacy Specialist), passando da controllore terzo e imparziale dei trattamenti posti in essere dall’ente a figura operativa, coinvolta in prima persona nella gestione e implementazione delle stesse policy e strategie aziendali di trattamento dei dati personali che poi – quale DPO – dovrebbe controllare (integrando così il classico caso di unione in unico soggetto dei ruoli antitetici di controllato e controllore). È evidente che un tale approccio non può che determinare un’ipotesi di nomina inefficace, esponendo l’ente in ogni caso alle ingenti sanzioni pecuniarie previste dall’art. 83, par. 4, del GDPR. Una nomina conforme non può quindi prescindere dalla consapevolezza del ruolo e delle competenze allo stesso affidati dal GDPR. Ma quali sono le competenze che un buon DPO deve avere e che, quindi, il designante deve tenere in considerazione per la scelta del “giusto” candidato?
Le competenze del DPO
L’art. 37, par. 5, GDPR dispone che: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Al fine di chiarire il contenuto sostanziale delle competenze richieste dalla normativa, nelle “Linee Guida sul responsabile della protezione dei dati “– WP243 rev. 01 (cfr. l’Allegato, punto 8) viene precisato che:
“Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:
- conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del GDPR;
- familiarità con le operazioni di trattamento svolte;
- familiarità con tecnologie informatiche e misure di sicurezza dei dati;
- conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile:
- capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile”.
Nel vademecum “The DPO Handbook – Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation” (frutto di una collaborazione transnazionale che ha coinvolto esperti giuristi e funzionari delle autorità di controllo di diversi Paesi, tra cui il Garante italiano, pubblicato sul sito del Garante lo scorso 5 agosto; cfr. pagg. 126-127), si osserva che: “On the first point – expert knowledge – the EU Institutional DPOs’ “professional standards” document notes the need for the following: expertise in the area of EU privacy and data protection law, in particular Article 16 of the Treaty on the Functioning of the European Union, Article 8 of the Charter of Fundamental Rights of the European Union, Regulation (EC) 45/2001 and other relevant data protection legal instruments, and expertise in IT and IT Security; and good understanding of the way the institution [to which the DPO is appointed] operates and of its personal data processing activities, and an ability to interpret relevant data protection rules in that context. Technical knowledge of IT systems should be especially emphasised. As the French data protection authority, the CNIL puts it: In relation to informatics, a good understanding is required of the terminology, [IT] practices and different forms of processing of data. A DPO should be knowledgeable about, for example, data management and ‐exploitation systems, types of software, files and data storage systems, as well as about the requirements of confidentiality and security policies (data encryption, electronic signatures, biometrics, …). This knowledge should enable [the DPO] to monitor the deployment of IT projects and to provide useful advice to the controller responsible for the processing”.
In sintesi, il candidato ideale dovrebbe possedere solide conoscenze giuridiche specializzate in materia e una significativa confidenza con il settore IT; diversamente, incontrerebbe notevoli difficoltà a rapportare la normativa ai processi aziendali e in particolare ad adempiere efficacemente alle proprie funzioni “ispettive”. È naturalmente altrettanto importante l’esperienza accumulata dal DPO nel settore di attività dell’ente designante: è chiaro che le relative peculiarità (ad esempio, regolamentazioni e prassi specifiche per quell’attività) incidono fortemente sulla definizione dei percorsi di accountability. Nel citato Handbook viene, infatti, precisato che:“The nature of the required “expert knowledge” and “abilities” may vary depending on the activities of the controller: a DPO for a tax authoritywill require different expertise than one working for an educational‐ or welfare authority. The EDPS refers to this as the need for “proximity” (of the DPO to the entity she serves). The DPO has a central role within the institution/body: DPOs are [i.e., should be] familiar with problems of the entity where they work (idea of proximity) and, given their status, have a crucial role to play in giving advice and help in solving data protection issues [read: as specific to the body in question]”.
Gli elementi chiave per la scelta del DPO
Tuttavia, come emerge dal “Rapporto Clusit 2017 sulla Sicurezza ICT in Italia (che, seppure realizzato in relazione a DPO nominati prima dell’entrata in vigore del GDPR, rivela sul punto dati indicativi: v. pagg. 162-167), nella pratica elementi chiave per la scelta del DPO risultano essere:
- per il 64,2% delle società intervistate, il possesso di certificazioni;
- per il 39%, l’anzianità nel ruolo (senza però attribuire a titolo di studio e inquadramento – impiegato/quadro/dirigente – un peso significativo);
- solo per il 25,8 % altri elementi quali le competenze ed esperienze specifiche di settore, il Curriculum Vitae.
È significativo notare come, per le organizzazioni italiane, i più frequenti criteri di scelta di un DPO consistano in requisiti diversi da quelli espressi dalla norma e dai citati documenti “integrativi”. In aggiunta, quanto al criterio del possesso di “certificazioni” (che dal Rapporto Clusit emerge quale il più popolare), sembra opportuno sottolineare che il citato Handbook ricorda che le correnti “certificazioni” su base volontaria (spesso aventi ad oggetto non solo le competenze del DPO in senso stretto ma anche, più in generale, sicurezza, audit, privacy), seppure utili e raccomandabili – specie quando rilasciate da enti sovranazionali di assoluta fama, come ad esempio ISACA -, non sono però riconducibili a quelle disciplinate dall’art. 42 GDPR. Queste ultime, infatti, riguardano esclusivamente i trattamenti di dati personali effettuati dai titolari o dai responsabili e hanno la finalità di dimostrare la loro trasparenza e conformità al GDPR, senza alcun rilievo in relazione alle competenze personali di un soggetto.
Pertanto non scaricano l’ente designante dalla responsabilità di valutare la sussistenza in capo al potenziale DPO dei requisiti idonei ad adempiere ai compiti tipizzati dal GDPR: “As the Italian data protection authority, the Garante, put it: As is the case with all so‐called ‘unregulated professions’, proprietary schemes have been developed to certify, on a voluntary basis, professional skills and competences. Such schemes are managed by several certification bodies. Certifications of this kind – which do not fall under the scope of Article 42 of the GDPR – are sometimes issued following attendance of training and/or learning verification courses.
Though representing a valuable tool that, similarly to other attestations, can provide evidence of a professional’s having at least basic knowledge of the applicable rules, such certifications do not equate, per se, to ‘qualifications’ enabling the discharge of DPO‐related tasks and cannot replace the obligation on public administrative bodies to evaluate the requirements a DPO must meet with a view to the tasks and duties set out in Article 39 of the GDPR. As the Confederation of European Data Protection Organisations (CEDPO) puts it: Candidates will probably show you a lot of certificates and diplomas they have gained over the years to show how qualify they are. But how to tell which are valuable and which are not? First thing, you should check is the credentials of the party giving the training and certification. If it is a well‐known accredited pan‐EU or national organization (in some countries even data protection authorities are certifying), you may feel more comfortable. Also, find out the agenda of the training courses. A one day event or certifications obtained mainly as a result of a payment and a very simple exam will not have anyone trained into a reliable DPO”. (cfr. Handbook, pag. 129). Deve pertanto essere ben chiaro ai designanti che, senza nulla togliere all’importanza di training e relativi riconoscimenti (che comunque possono guidare gli enti nella scelta dei profili qualificati, come già avviene in altri ambiti ove costituiscono criteri di selezione), è indiscutibile che il DPO debba essere scelto tra soggetti che abbiano competenze effettive, e pertanto verificabili. Come fare a individuare tali competenze? Come scegliere il DPO più adatto alla nostra realtà di trattamento?
L’importanza della documentazione
L’ente, una volta compreso quali requisiti richiede la normativa per un’adeguata nomina del DPO, per evitare di cadere in errore dovrebbe documentare le proprie valutazioni, dando evidenza dei criteri che ha adottato per individuare il soggetto (interno o esterno) che ritiene abbia le caratteristiche idonee per coprire la carica di DPO e delle ragioni che lo hanno spinto alla nomina. Ciò anche in un’ottica di accountability: Come noto, il titolare ha infatti l’obbligo di essere conforme alla normativa e, contemporaneamente, di potere in ogni momento dimostrare tale conformità (cfr. GDPR, cons. 74 e 85; artt. 5 “Principi applicabili al trattamento di dati personali”, 24 “Responsabilità del titolare del trattamento”, 35 “Valutazione d’impatto sulla protezione dei dati”).
In tale prospettiva, senza dubbio una diligente documentazione della valutazione effettuata dal titolare sulle caratteristiche del DPO assume particolare valore anche in una fase di verifica / audit (interno o esterno o anche da parte del Garante): le informazioni documentate infatti contribuiscono a dare evidenza del percorso di adeguamento condotto dal titolare, facilitando la verifica. Ma non solo: va rilevato anche che la loro eventuale assenza costituisce di per sé, in questa sede, oggetto di rilievo (per approfondimenti sul punto, v. Giancarlo Butti, Maria Roberta Perugini “Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPO”, Franco Angeli, 2019). A tale proposito, nel già citato Handbook è stato evidenziato che:
“The main point to make in this introduction to the DPO is that, in terms of the GDPR, it is a crucial new institution that should be seen as an essential means to give practical effect to the “accountability” (duty to demonstrate compliance) principle discussed earlier: where a DPO has been appointed, and dutifully fulfils her tasks (…), that should result in better, more comprehensive and serious compliance with the GDPR than was achieved through the mainly external supervision by the data protection authorities in relation to the 1995 Data Protection Directive. Now, under the GDPR, DPAs have both a direct, knowledgeable contact point within the organisation of all relevant controllers, and an ally within the controller’s organisation (cfr. pag. 120)”.
Le domande da porsi
Considerato quanto sopra e il significativo ruolo assunto dal DPO nell’ottica del GDPR, da un punto di vista pratico risulta senz’altro utile per l’ente partire dalla definizione preventiva degli elementi essenziali da prendere in considerazione per indagare la complessiva conformità della nomina. Di seguito, l’esemplificazione di una possibile checklist:
- sono soggetto all’obbligo di nomina del DPO?
- Il DPO nominato possiede le caratteristiche individuate dalla legge e dal WP29 o da altri enti autorevoli, quali l’EDPS?
- con quali modalità sono stati “reclutati” i candidati alla nomina (ad esempio bando di gara, manifestazione di interesse…)?
- quanto tempo il DPO deve impegnare per lo svolgimento della sua attività?
- sulla base di quali criteri o valutazioni è stato determinato il compenso economico del DPO?
- quali risorse (sia in termini economici, sia in termini di personale ed infrastrutture) verranno messe a disposizione del DPO?
- con quali referenti dell’alta direzione il DPO interagirà?
- l’atto di designazione o il contratto di servizi sottoscritto per la nomina sono sufficientemente chiari ed espliciti?
- quali compiti sono assegnati al DPO? Qualora il DPO svolga per la società altre funzioni, queste sono compatibili con la nomina?
- l’attività svolta DPO risulta dalle evidenze documentali e dalle interviste svolte in sede di verifica?
Procedere sistematicamente, operando una seria analisi preventiva sulle motivazioni e sull’opportunità di provvedere alla nomina di un DPO, induce due risultati positivi: da un lato, condurre l’ente a una piena consapevolezza delle caratteristiche della propria realtà di trattamento e della effettiva complessità dell’attività del DPO in questo contesto. Dall’altro lato, e per l’effetto, restituire alla figura del DPO la giusta rilevanza nell’ambito delle organizzazioni presso cui è nominato: la presa di coscienza, da parte dell’ente, della effettiva portata dei compiti e delle responsabilità che la legge pone a carico del DPO e della funzione chiave che esso svolge per la compliance aziendale è senz’altro fondamentale presupposto per valorizzare correttamente tale figura nel contesto aziendale, sotto il profilo della attribuzione di risorse e strumenti e, non ultimo, del riconoscimento di un trattamento economico adeguato.
