La normativa fissa la protezione dei dati come un problema generale di alta priorità, e obbliga le organizzazioni ad affrontare seriamente la protezione dei dati in maniera consapevole, delineando gli strumenti e le strategie per organizzarsi in modo coerente e contribuire per contrastare questa situazione di rischio generale.
Il GDPR definisce un approccio per la creazione di un sistema di protezione delle informazioni in cui la sicurezza è un valore predefinito, costantemente mantenuto sin dalla progettazione di un processo, basato sulla prevenzione e sulla consapevolezza. Uno dei principali strumenti per governare questo sistema è il responsabile della protezione dei dati – DPO.
Secondo le migliori pratiche, la designazione del DPO deve essere preceduta da un’attenta analisi documentata. Questa valutazione dovrebbe evidenziare gli aspetti legati alle responsabilità di tale ruolo, conflitti di interesse, costi e benefici.
Il DPO, infatti, non può ricoprire una posizione nella società che lo potrebbe portare ad un conflitto di interessi (GDPR Sez.4, Art. 38). In particolare, non può essere responsabile per le attività che contribuiscono alla definizione e gestione delle politiche di sicurezza del trattamento dei dati. Pertanto egli non è idoneo a ricoprire un ruolo di responsabilità diretta in materia di protezione dei dati.
La responsabilità per la protezione dei dati personali ricade sul Titolare (GDPR, Art.24) e sul Responsabile di Trattamento (GDPR, Art. 82).
Il DPO deve essere una figura che possiede una visione di alto livello. Egli può essere un dipendente dell’organizzazione o un esterno regolarizzato mediante un contratto specifico (Linee guida WP29 sui responsabili della protezione dei dati, Art. 2.4).
Come già ricordato, l’adozione di un DPO, interno o esterno, può dipendere da fattori quali la dimensione dell’azienda, l’esistenza delle competenze richieste già all’interno dell’organizzazione, l’esperienza e la cultura interna della privacy.
In aziende sanitarie di una certa dimensione e in cui vi è una maggiore cultura e consapevolezza in materia di protezione dei dati, la scelta del DPO deve ricadere su figure interne già esistenti, che possiedano competenze acquisite nel corso degli anni nel settore sanitario, in possesso di accreditamenti e certificazioni specifiche per il governo sicuro delle informazioni.
Il DPO è un attore significativo che svolge molteplici funzioni (GDPR, Art. 39):
– informare e consigliare gli attori che svolgono il trattamento dei loro obblighi in materia di protezione dei dati personali;
– monitorare la conformità, in particolare con il GDPR e con specifiche normative in materia di dati sanitari personali;
– attivare il Titolare ed il Responsabile di Trattamento per svolgere Data Protection Impact Assessment e monitoraggio (GDPR, Art. 35);
– cooperare con l’autorità Garante. Il DPO è l’interfaccia per chiedere pareri ufficiali e segnalare eventuali violazioni significative.
Il DPO gioca in una posizione strategica: deve essere una figura autorevole che ispira fiducia all’interno dell’azienda e anche all’esterno. Non un mero prestanome, ma un attore preparato in grado di capire i regolamenti e le tecnologie, con un background professionale certificato, in grado di sapere relazionarsi correttamente con l’organizzazione. Un protagonista fondamentale per la crescita dell’azienda.
Il costo di un responsabile della protezione dei dati in un’organizzazione sanitaria può iniziare da 80.000 EUR / anno, oltre a tutte le risorse necessarie per la sua sostenibilità. Per svolgere i suoi compiti, il DPO deve tenere conto dello stato dell’arte e dei costi di attuazione, sfruttando le risorse già esistenti in azienda (GDPR, Art. 32 comma 1). Non nominare il DPO prevede sanzioni fino a 10 milioni di euro (GDPR, Art. 83 comma 4).
Pur non avendo una responsabilità diretta per la gestione delle politiche di dati, è molto probabile che il DPO possieda una responsabilità civile e contrattuale nei confronti della società da cui dipende, in quanto le attività da lui previste hanno un impatto diretto sui processi e sul livello generale di conformità.
In ogni caso, è impossibile acquisire le competenze di un DPO con un corso di formazione di tre o quattro giorni. Anche per questo motivo, le organizzazioni sanitarie devono scegliere questo attore consapevolmente.