DPO

Quali sono i compiti e le funzioni del DPO

DPO

Dopo aver illustrato le valutazioni ed i processi formali che portano al perfezionamento della nomina, rispettivamente all’interno di “Chi è e quando è prevista la nomina del DPO” e “Come scegliere, collocare e comunicare con il DPO”, a chiusura di questa serie di articoli sul DPO, tratteremo quali sono concretamente i suoi principali compiti e funzioni, ai sensi dell’articolo 39 del GDPR.

Informare e consigliare il Titolare/Responsabile del trattamento in merito agli obblighi previsti dalle norme in materia di protezione dei dati personali

Il DPO, innanzitutto, dovrà costantemente interfacciarsi ed allinearsi con il top management in merito alle questioni riguardanti la protezione dei dati personali.

Per un’efficace gestione è importante cercare di creare un contesto, che sia il più possibile collaborativo tra le parti coinvolte, al fine di garantire il rispetto degli obblighi normativi, in armonia con il contesto e le esigenze lavorative.

Dalla nostra esperienza, è generalmente il DPO che sollecita il Titolare/Responsabile del trattamento in merito alle questioni più urgenti; in tale ottica, è una buona prassi fare dei verbali/recap scritti, preferibilmente a caldo, su quanto discusso nelle riunioni, in modo da:

  • tenere traccia delle tematiche da affrontare e dell’avanzamento dei lavori;
  • formalizzare l’attività e le prese di posizione del DPO nei confronti del Titolare/Responsabile del trattamento (anche come forma di tutela in caso di pretesa risarcitoria).

A tal proposito, ribadiamo il concetto, meglio illustrato nell’articolo “Come scegliere, collocare e comunicare con il DPO”, che solo il Titolare/Responsabile del trattamento, e non il DPO nel suo ruolo consultivo e di supporto, è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali.

Oltre alla funzione consultiva nei confronti del Titolare/Responsabile del trattamento, l’articolo 39 cita espressamente anche una più specifica funzione del DPO di “sensibilizzazione  e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”; si rammenta, a tal proposito, che ai sensi dell’articolo 29 del GDPR, “chiunque agisca sotto l’autorità del titolare del trattamento ed abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”, ed inoltre che l’articolo 32, paragrafo 4, dispone che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

Il consolidamento del livello di compliance passa infatti necessariamente da un adeguato grado di consapevolezza da parte dei soggetti autorizzati al trattamento dei dati personali, che andranno supportati dal DPO attraverso un piano formativo, che tenga conto delle rispettive esigenze e dei rispettivi obiettivi delle diverse figure aziendali, a cui venga di volta in volta indirizzato.

Sorvegliare l’osservanza della normativa e delle politiche del Titolare/Responsabile in materia di protezione dei dati personali del trattamento

Al fine di uniformare i principi e gli obiettivi ed evitare interpretazioni applicative discordanti, il DPO è chiamato a definire la policy aziendale in materia di protezione dei dati personali, che dovrà essere approvata formalmente dal top management.

Nel documento, indirizzato innanzitutto al personale autorizzato trattamento dei dati personali, si dovranno indicare quantomeno le definizioni dei termini chiave della normativa, i principi della protezione dei dati, i ruoli e le responsabilità dei vari soggetti, oltre alle specifiche istruzioni operative per la protezione e l’adeguato trattamento dei dati personali nell’ambito delle mansioni lavorative.

Se la policy dovesse essere utilizzata anche per i trasferimenti dei dati tra le diverse filiali dell’azienda, alcune delle quali collocate al di fuori dell’Unione Europea, la medesima dovrà essere sottoposta anche all’approvazione dell’Autorità di controllo, e, qualora approvata, potrà valere alla stregua delle Norme vincolanti d’impresa, come illustrate dall’articolo 47 del GDPR.

Il passo successivo è la conduzione degli audit dei vari settori aziendali, per verificare se i trattamenti posti in essere sono conformi alla policy; i membri di riferimento di ciascun settore, ovviamente, dovranno essere appositamente istruiti e preparati in materia.

Sulla base delle informazioni raccolte nel corso degli audit periodici con le divisioni coinvolte nelle operazioni di trattamento, anche le Linee guida adottate in materia dal Gruppo di Lavoro Art. 29 (WP29) non censurano la prassi di affidare ai DPO la tenuta del Registro dei trattamenti, sebbene l’articolo 30 GDPR prescriva la responsabilità formale della tenuta del Registro in capo al Titolare o al Responsabile del trattamento, e non al DPO.

Il monitoraggio del Registro può aiutare infatti molto il DPO a sorvegliare il rispetto delle disposizioni normative da parte del Titolare/Responsabile del trattamento, avendo a disposizione uno strumento di monitoraggio dei trattamenti e, conseguentemente, d’individuazione di quelli maggiormente esposti al rischio.

Oltre alla tenuta e costante aggiornamento del Registro dei trattamenti, il DPO dovrà assicurarsi che l’azienda mantenga un registro o log delle richieste degli interessati, dei consensi ottenuti ed eventualmente revocati, nonché, naturalmente, dei data breach e near misses.

Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento

In ossequio al principio di Privacy by Design, il DPO dovrebbe essere consultato, prima di procedere al trattamento, ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati, in particolare se vi sono rischi elevati per i diritti e le libertà degli interessati, per cui risulta necessario effettuare una Valutazione d’impatto (DPIA) ai sensi dell’articolo 35 del GDPR.

Oltre che nella fase di svolgimento vero e proprio della DPIA ed implementazione delle misure di mitigazione, il DPO andrebbe coinvolto già dalla fase preliminare, che potrebbe anche concludersi con una valutazione di non necessità della DPIA e di adeguato governo del trattamento.

Anche le Linee Guida del WP29 prescrivono che “Qualora il titolare non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni”.

Non nascondiamo che, purtroppo, dalle nostre esperienze raramente capita di vedere rispettato questo approccio virtuoso, venendo invece coinvolto il DPO, nella maggior parte dei casi, ex post a trattamento già intrapreso.

Cooperare e fungere da punto di contatto

Come delineato dalle Linee Guida del WP29, il DPO, attraverso i suoi canali di contatto (sulla cui comunicazione e pubblicazione rimandiamo all’articolo “Come scegliere, collocare e comunicare con il DPO”), deve avere un ruolo di “facilitatore” tra il Titolare del trattamento che lo ha nominato e l’Autorità di controllo per le questioni connesse al trattamento; tra queste, possiamo citare, ad esempio, l’eventuale consultazione preventiva successiva alla DPIA, di cui all’articolo 36 del GDPR, e, in generale, la collaborazione con l’Autorità per l’adempimento dei compiti di indagine, correttivi, autorizzativi e consultivi, riconosciuti ad essa dagli articoli 57 e 58 del GDPR.

Oltre che per l’Autorità di controllo, il DPO deve fungere da punto di contatto anche per gli interessati al trattamento, al fine di poter fornire loro un riscontro in merito a qualunque questioni connessa al trattamento dei loro dati personali e per garantire l’esercizio dei loro diritti, nelle tempistiche indicate dall’articolo 12 del GDPR.