DPO: meglio un servizio esterno o un dipendente?

di | 8 May 2016

Il Regolamento 2016/679 (GDPR) introduce un nuovo ruolo: il Data Protecion Officer (DPO). Obbligatorio per alcune categorie di Titolari e Responsabili e opzionale per gli altri (vedi articolo 37), il DPO svolge un ruolo particolare nell’organizzazione dell Titolare.

Il GDPR definisce i compiti del DPO (vedi articolo 39 per i dettagli): informare e fornire consulenza … , sorvegliare l’osservanza … , fornire, se richiesto, un parere … , cooperare con l’autorità di controllo … , fungere da punto di contatto per l’autorità di controllo … .

Chiaramente  dal GDPR non sono assegnati  compiti operativi al DPO, anche se altri compiti possono essere affidati alla persona che è designata come DPO, sempre che essi non diano adito a un conflitto di interessi.

Allora, il DPO è il responsabile della compliance nell’organizzazione del Titolare? Io direi di no. Di più, direi che il DPO non può essere anche la persona che deve assicurare la compliance dell’azienda al GDPR perchè in tal caso dovrebbe monitorare sé stesso.

Detto questo, un’altra domanda sorge spontanea: considerando che il GDPR esplicitamente prevede la possibilità di ricorrere a un servizio fornito da terzi, cosa è meglio tra designare un dipendente aziendale e acquistare un servizio da una fornitore specializzato?

La risposta, naturalmente, dipende da molti fattori: la dimensione dell’organizzazione, l’esistenza delle compteneze richieste all’interno, la tipologia di dati trattati e di trattamenti e così via. Alcuni di questi fattori dipendono anche dal servizio offerto: la competenza specifica per il settore di attività del titolare sembra davvero un elemento chiave perchè un servizio esterno possa essere utile, in particolare per quei settori con minore cultura ed esperienza della privacy.

Categoria: Data Protection Officer Ruoli e Responsabilità Tag: , , , ,

Informazioni su Sergio Fumagalli

Vice President Zeropiu Spa, system integrator specialized in digital identity and data security with operations in Italy and in the Nordics. After serving as MP in the Italian Parliament, I started a professional collaboration with the Data Protection Italian Authority and a professional activity on these topics. Co-author of “Privacy guida agli adempimenti”, IPSOA, 2004, 2005 a book on compliance to the Italian Law. Since 2008 member of the Oracle Community for Security - http://c4s.clusit.it/views/Homepage.html - and since 2014 member of the board of Clusit a leader association on IT Security in Italy Between 2004 and 2012 member of the board of Webank Spa, the online banc of the Banca Popolare di Milano group.

5 pensieri su “DPO: meglio un servizio esterno o un dipendente?

  1. paolo calvi

    Questo interessante report dalle giornate londinesi che IAPP ha dedicato al GDPR (e in particolare alla figura del DPO) risponde almeno in parte alla tua domanda. Secondo Paul Jordan (Managing Director IAPP Europe):
    1) il DPO non sarà il Chief Privacy Officer già presente nelle aziende (è quello che vado dicendo anch’io da tempo, visto che il CPO ha compiti gestionali mentre il DPO è una figura di controllo);
    2) il DPO non sarà il Legale interno all’azienda;
    3) il DPO non sarà affidato a Studi Legali esterni, che potrebbero avere un conflitto di interessi.
    Quindi IAPP vede una crescita per le “emerging specialized consultant organizations created for the sole purpose of serving as an out-sourced DPO”.
    https://iapp.org/news/a/notes-from-the-iapp-europe-managing-director-april-22-2016/

    1. Sergio Fumagalli Autore articolo

      Grazie della segnalazione. Forse sarebbe ora di affrontare il tema in modo più direttoe approfondito anche da noi. Può essere un input per l’attività di europrivacy.info ?

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.