DPO in outsourcing, conviene?

Il DPO dovrebbe essere una figura indipendente e autorevole, in grado di approcciarsi ai più alti livelli gerarchici di un'azienda, evitando conflitti d'interesse. Meglio un DPO interno o esterno?
  • Data: 11-12-2019
  • Tag: dpo, gdpr, data protection officer, responsabile protezione dati, privacy, outsourcing

Chi è il Data Protection Officer?

Il Data Protection Officer (DPO) è una figura introdotta dal GDPR.  Il DPO assume un duplice ruolo: da una parte, fornire consulenza al titolare del trattamento, dall'altra sorvegliare l’osservanza della normativa in materia di protezione dei dati personali. Il DPO è quindi una figura a metà tra un consulente e un auditor super partes.

Il DPO riferisce direttamente al vertice gerarchico dell'organizzazione e dovrebbe essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali – a prescindere dal dipartimento o contesto aziendale.

 

 

 

 

 

 

Quali sono i requisiti fondamentali che deve avere un DPO?

I requisiti fondamentali di un DPO sono almeno 3:

  • Indipendenza: non può ricevere istruzioni in merito alle sue funzioni, né rispondere del suo operato
  • Imparzialità: nell'esercizio della sua funzione di sorveglianza, deve assicurare che le attività di trattamento di dati personali siano rispettose della normativa e dei diritti dei soggetti interessati
  • Competenza: deve conoscere la normativa privacy e la giurisprudenza, avere dimestichezza con il settore di riferimento, e sapersi destreggiare con tecnologia e sicurezza

Chi scegliere come Data Protection Officer?

Molte organizzazioni si trovano in difficoltà quando devono scegliere chi designare come Data Protection Officer.

Quando si sceglie di incaricare un DPO interno, la scelta solitamente ricade su tre tipologie di persone:

  • Manager che gestisce i processi qualità
  • Legale che gestisce la compliance
  • Tecnico che gestisce i sistemi informativi aziendali

Ognuna di queste scelte, per quanto plausibili, comporta dei problemi.

I problemi del DPO interno

Data la peculiarità della posizione, incaricare una persona interna come DPO potrebbe comportare diversi problemi che riguardano le principali caratteristiche di un DPO:

  • Indipendenza e impazialità: nessun dipendente, anche di livello manageriale, sarà mai pienamente indipendente e imparziale.
  • Competenze specifiche: la privacy è una materia estremamente complessa e dinamica, che richiede costante formazione di alto livello.
  • Competenze trasversali: essere DPO significa essere in grado di affrontare tematiche estremamente diverse tra loro, che richiedono competenze trasversali anche in materia di governance e risk management
  • Mancanza di tempo: un dipendente che assume anche l’incarico di DPO oltre alle sue mansioni ordinarie non riuscirà mai a dedicare abbastanza tempo e risorse ad entrambi i ruoli in modo proficuo

DPO esterno: chi scegliere?

Un DPO deve prima di tutto conoscere e saper applicare la normativa, i provvedimenti, le linee guida e le sentenze in materia di protezione dei dati personali.

Il DPO deve anche saper affrontare le sfide quotidiane di una realtà aziendale: processi e politiche interne, procedure, necessità di business.

Il DPO ideale, dovrebbe quindi incarnare le competenze di un giurista, le conoscenze di un esperto di sicurezza delle informazioni e le capacità di un manager.

Per questo motivo è preferibile incaricare una società di consulenza specializzata che possa coprire tutti questi aspetti, piuttosto che uno studio legale, una società di sicurezza, o un libero professionista.

 Il DPO fa paura?

Molte realtà scelgono di designare un DPO interno per paura del giudizio di persone esterne, o peggio ancora per paura che un DPO esterno possa bloccare o ingessare l’azienda.

Beh, non è così. Il DPO non è uno sceriffo!

Il bravo DPO è un business partner che lavora insieme all’azienda per migliorare i processi interni e i servizi offerti, assicurando il rispetto della normativa.

Un DPO che danneggia il business invece di trovare soluzioni, non è un buon DPO.