Tempo di lettura stimato: 8'
Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.
Il DPO informa e consiglia come un counselor, non come uno iettatore
Il GDPR ci dice che il DPO deve fornire consulenza tecnica e legale al titolare del trattamento o al responsabile e agli addetti affinché rispettino il Regolamento europeo.
Quindi il suo compito è prima di tutto quello di informare il titolare del trattamento, gli addetti ed i responsabili esterni su come raccogliere, trattare e conservare i dati personali in modo conforme al GDPR: aiutarli a provare la loro accountability.
La sua attitudine deve essere quella di un counselor - un professionista che facilita il percorso di autoconsapevolezza nel cliente – non quella dello iettatore: uno che ti arriva in azienda sciorinando articoli di legge e check-list, e terrorizzando tutti con la minaccia che prima o poi arriverà la sanzione (o meglio, può anche fare un po’ di sano terrorismo, se vede che il titolare è consapevole ma poco scrupoloso nel trattare i dati in suo possesso).
Deve sapersi calare nel contesto e guardare alla situazione. Se l’azienda che l’ha nominato è la GDO, la banca, l’ospedale con l’ufficio legale, il CED e l’ingegnere termonucleare per il calcolo del rischio, giustamente deve partire dalla legge, spiegare articolo per articolo cosa prevede il GDPR e metterci dentro tutto: accountability, privacy by design, data breach e così via.
Ma se è stato nominato da organizzazioni più piccole - la scuola elementare, il Comune di 600 abitanti, il patronato che fa la dichiarazione dei redditi alle signore di 80 anni - il DPO ha prima di tutto il dovere di far capire in modo semplice cosa sono i dati personali, perché vanno protetti, cos’è una violazione, capire se è di tipo 1 o di tipo 2, come e quando segnalarla e quali valutazioni fare per avere un rischio residuale basso.
È inutile dire a Giulia, la preside della scuola - che magari oltre ad essere preside fa pure l’insegnante – o ad Antonio, il referente del CAF di quartiere, che i dati “vanno conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati…” (art. 5 GDPR). Legge l’articolo e loro lo guardano come le mucche guardano passare il treno! Se il DPO cala dall’altro gli articoli di legge, senza valutare il caso specifico e senza usare un linguaggio chiaro, indicazioni semplici e concrete, non sta facendo bene il suo lavoro di accompagnatore.
Perché per essere in regola con il GDPR bisogna essere prima di tutto consapevoli e la consapevolezza si raggiunge solo con una buona formazione, che tiene conto dell’attività dell’organizzazione, di come vengono trattati i dati, di quali valutazioni servono per scegliere le contromisure a protezione dei dati e fare in modo che abbiano un rischio residuale basso, certificabile.
In questa attività di sensibilizzazione e informazione, il DPO ha anche il compito di aiutare il titolare a redigere il registro delle attività di trattamento, cioè il documento in cui vanno riportati tutti i trattamenti fatti dall’organizzazione…. Aiutare non vuol dire redigere, accompagnare non vuole dire scrivere.
Fai attenzione alle check-list e a ti chi attacca il bollino “conforme”
Ci sono in giro dei gibboni che per metterti in regola col GDPR ti propinano una lista di 700 voci e poi ti stampano il bollino Chiquita sulla fronte, per dirti: toh, adesso sei conforme!
Sarebbe facile e molto bello essere compliant GDPR spuntando una check-list, ma non è così che funziona. Perché è l’approccio ad essere sbagliato. Io lo chiamo l’approccio del sasso e del ponte: quando gli ingegneri romani costruivano un ponte, prendevano dei grossi sassi e li mettevano sul fondo del fiume. Poi risalivano, costruendo gli archi di sostegno e infine il ponte nella sua interezza. È un approccio bottom-up: dal basso.
E va benissimo, se devi costruire un ponte.
Non va bene se devi analizzare i rischi residuali sul trattamento dei dati personali.
Partire da questionari in Excel – spesso pieni di domande sostanzialmente inutili e poco pertinenti – per valutare il rischio che corrono i dati e da lì generare un’analisi di compendio è costoso e molto complicato. Non si diventa compliant smarcando una checklist, ma capendo cosa si sta facendo e come.
L’approccio da seguire è, ancora una volta, quello del counseling.
Guarda alla tua azienda e individua quali dati tratti e a come li stai proteggendo, con l’aiuto del DPO valutate il rischio che corrono: è un rischio residuale basso? Bene.
È un rischio medio? Mmm, forse bisogna adottare un’altra contromisura: cambiare gestionale o sistema di back-up, modificare il modo in cui vengono trasmesse le buste paga ai dipendenti e così via. Tieni sotto controllo la catena delle responsabilità. Individua chi gestisce i dati personali per conto tuo – i responsabili esterni: software house, studio paghe, commercialista, studio legale e così via – e insieme al DPO assicurati che siano compliant GDPR, che siano nominati correttamente e solo per la loro porzione di responsabilità.
Il DPO sorveglia e se fa bene il suo lavoro deve anche essere un po’ fastidioso
Secondo compito del responsabile protezione dati: la sorveglianza. Il GDPR ci dice che il DPO deve sorvegliare, mettere in atto attività di controllo sui responsabili e sugli addetti durante i processi.
Quindi deve essere un po’ come il tenente Colombo: ficcare il naso dappertutto e scovare le magagne. A questo proposito, un consulente inglese ha definito il DPO fastidioso come una cacca in un sandalo, se fa bene il suo lavoro.
Sono d’accordo. Un Data Protection Officer che nasconde la polvere sotto il tappeto per far contento il titolare sta mancando ai suoi doveri fondamentali e alla sua funzione.
Ricordiamocelo, il trattamento dei dati personali è una cosa seria, non un altro balzello da smarcare. Lasciamo stare per un attimo le sanzioni, il Garante eccetera eccetera e pensiamo alle persone che ci hanno lasciato i loro dati: i nostri dipendenti, i genitori dei bambini che vanno a scuola, i pazienti dell’ospedale. I loro dati sono una delle cose più preziose che hanno. Se il Comune, la scuola, l’ospedale, la banca non riescono a garantire un rischio residuale basso e questi dati vanno in giro, le conseguenze sono ben più gravi della sanzione. Stiamo parlando della vita delle persone.
Ricordiamocelo, il trattamento dei dati personali è una cosa seria, non un altro balzello da smarcare. Lasciamo stare per un attimo le sanzioni, il Garante eccetera eccetera e pensiamo alle persone che ci hanno lasciato i loro dati: i nostri dipendenti, i genitori dei bambini che vanno a scuola, i pazienti dell’ospedale. I loro dati sono una delle cose più preziose che hanno. Se il Comune, la scuola, l’ospedale, la banca non riescono a garantire un rischio residuale basso e questi dati vanno in giro, le conseguenze sono ben più gravi della sanzione. Stiamo parlando della vita delle persone.
È la vita di Giulia, che è incinta di 4 mesi e devono rinnovarle il contratto di lavoro, ma l’informazione trapela perché l’ospedale non ha adottato le contromisure adeguate e così l’azienda non le rinnova il contratto. È la vita di Antonio, che ha 50 anni ed un’assicurazione sulla vita. Gli viene diagnosticata una malattia cronica e il premio assicurativo guarda caso aumenta.
Quindi il DPO deve essere fastidioso come una cacca in un sandalo, deve stare lì col punzone per ricordare al titolare del trattamento e ai responsabili di fare attenzione a come trattano i dati personali. Guarda cosa fanno, li affianca nei processi e se trova qualcosa che non va deve segnalarlo: “Ascolta titolare, secondo me questo trattamento non ha un rischio residuale basso, ha un rischio medio, trova delle altre contromisure. Il software che stai usando non è conforme al GDPR, ti consiglio di cambiarlo. Tenere i dati personali dei clienti solo su una chiavetta USB non è una procedura sicura, adotta un’altra procedura.”
Poi redige il rapporto di sorveglianza, un documento obbligatorio per legge – da compilare almeno una volta all’anno - che elenca le misure adottate per proteggere i dati, indica se sono conformi e, se necessario, anche le azioni consigliate per la compliance al GDPR.
Se il titolare lo richiede, il DPO può dare anche un parere in merito alla valutazione d'impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento. La DPIA (Data Privacy Impact Assessment) è una valutazione obbligatoria quando un trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone interessate. Per esempio, se l’azienda ha un sistema di videosorveglianza, va fatta la DPIA. Ospedali, scuole, patronati, sindacati in quanto tali trattano dati sensibili e sono obbligati a fare la DPIA.
Il Data Protection Officer consiglia, il titolare del trattamento decide
Una volta che il DPO ha spiegato, informato, consigliato titolari, addetti e responsabili, supervisionato e validato come l’organizzazione raccoglie e tratta i dati, la decisione sulle contromisure da adottare e se segnalare o meno una violazione spetta al titolare. La responsabilità del DPO ha dei limiti. Quindi se il titolare riceve una segnalazione di una possibile violazione non spetta al Data Protection Officer decidere cosa fare.
“Antonio ha perso una chiavetta USB!”
Il DPO: “Cosa c'era sopra?”
Il titolare: “Mah la lista dei dipendenti col numero della carta per la mensa…”
E il DPO "Ihh, la Peste! Devi fare notifica al Garante!"
E appena il titolare – che ha letto come si gestisce un Data Breach - si azzarda a dire "Ma… mi sembra strano. Secondo me non è proprio così..."
Il DPO "Ihh, l'Inferno! Allora ti mando una PEC in cui io scrivo che non ero d'accordo!"
Attenzione agli eccessi di paraculismo!
Il DPO non ha questa responsabilità. Non può dire “non sono d’accordo ti mando la PEC!”.
Non spetta a lui decidere se comunicare una violazione o meno.
Teniamo i ruoli separati. Il titolare può chiedere un consiglio, ci mancherebbe, perché è specificato nei compiti del DPO quello di dare consulenza. Ma il suo è un consiglio. Non è un ordine. La responsabilità è del titolare, è lui che decide, perché tanto nelle grippe ci va lui.
Il DPO deve cooperare: è il punto di collegamento tra autorità e titolare del trattamento
Il DPO, infine, ha un ruolo di cooperazione. Deve fungere da contatto tra l’autorità di controllo ed il titolare del trattamento.
La sua è una figura indipendente e di garanzia, che lavora a stretto contatto con l’autorità per ogni questione relativa al trattamento dei dati personali.
Dunque, l’ambito di lavoro del DPO è vastissimo, le sue competenze sono numerose e trasversali.
Questo significa che per fare bene il DPO la formazione è fondamentale, ma va fatta cum grano salis: non può essere solo teoria, deve essere calata nel concreto, nella pratica quotidiana.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.