Il WP29 ha adottato il 23 Dicembre una Linea Guida allo scopo di meglio definire il ruolo del DPO nel GDPR.
La Linea Guida sul DPO del WP29 al punto 3.5 stabilisce che: L’articolo 38(6) consente ai DPO di “svolgere altri compiti e funzioni.” ma che tali compiti e funzioni non diano adito a un conflitto di interessi.
La Linea Guida sul DPO del WP29 al punto 4.1 stabilisce che: “L’assenza di conflitto di interessi è strettamente connessa al fabbisogno di agire in modo indipendente. Anche se i DPO possono ricoprire altre funzioni, a questi possono essere affidati altri compiti o funzioni soltanto se questi non sollevano conflitti di interesse. Questo riguarda in particolare il fatto che i DPO non possono ricoprire una posizione nell’organizzazione che comporti che lui o lei stabilisca le finalità e i mezzi (processi) di trattamento di dati personali.”
Il Recital 97 del GDPR stabilisce che”i DPO dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Inoltre il Recital 97 del GDPR specifica che il DPO dovrebbero assistere Titolare o Responsabile “nel controllo del rispetto a livello interno del presente regolamento”; e l’Articolo 39 (1) (b) affida al DPO tra gli altri compiti quello di “sorvegliare l’osservanza del presente regolamento”(GDPR).
La Linea Guida sul DPO del WP29 al punto 3.5 “Sorvegliare l’osservanza del presente regolamento”(GDPR) chiarificano che:
“Quale parte dei compiti di sorvegliare l’osservanza del presente regolamento”(GDPR), il DPO può in particolare:
- raccogliere informazioni per identificare le attività di trattamento;
- analizzare e verificare la conformità delle attività di trattamento;
- informare, fornire consulenza e raccomandazioni al Titolare o al Responsabile.
Inoltre la Linea Guida sul DPO del WP29 nell’Introduzione: “Oltre a facilitare la sorveglianza attraverso l’implementazione di strumenti di “responsabilizzazione (Accountability)”(quali facilitare o espletare assessment di protezione dei dati o Audit)”, il DPO dovrebbe agire come intermediario tra portatori di interessi rilevanti (cioè autorità di supervisione, interessati, e business unit nell’azienda).
Il DPO dovrebbe anche avere un ruolo consultivo, come supporto all’applicazione in modo consistente di regole di protezione dei dati e di policy e procedure aziendali (quali violazioni dei dati o gestione di richieste dalle Autorità Garanti).
Come conseguenza delle considerazioni sopra svolte, il Ruolo del DPO può essere definito come un ruolo di Governance aziendale, simile ai ruoli di Compliance o Internal Audit, che richiedono indipendenza, autonomia, e segregazione dei compiti rispetto a ruoli di Management o operativi.
Riguardo all’Indipendenza” in attività di Audit, il framework di ISACA ITAF 3, “a Professional Practices Framework for IS Audit/Assurance” definisce (al 2003 punto 2.4) che un ICT Auditor potrebbe avere “Non-Audit service or roles”, come “advice roles”, mantenendo l’Indipendenza Organizzativa e Professionale.
Nello specifico “La funzione di Audit dovrebbe evitare di svolgere ruoli non audit in iniziative di Sistema informativo che richiedano l’assunzione di responsabilità di management, perché tali ruoli potrebbero compromettere una indipendenza futura”
ITAF 3 fornisce esempi di come un Auditor dovrebbe comportarsi per non compromettere l’Indipendenza.
Ulteriormente nel GDPR, altri punti significativi per gli obiettivi di attività del DPO sono:
- GDPR Articolo 32 (1) (d); “Sicurezza del trattamento” stabilisce che: “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Il DPO dovrebbe monitorare le misure di sicurezza.
- GDPR Articolo 28 (3)(h): “il responsabile del trattamento metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato”. Il DPO del Titolare del Trattamento dovrebbe verificare gli obblighi contrattuali del Responsabile del trattamento.
- GDPR Articolo 35(2), come pure la Linea Guida sul DPO 4.2, richiede in modo specifico che: “Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. L’Articolo 39(1)(c), affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento”. Il DPO dovrebbe fornire consulenza per la valutazione di Impatto (DPIA).
Il Coordinamento del DPO, in base ad una RACI Chart, con il Compliance Officer, Risk Manager, Security Officer, Chief Privacy Officer (CPO) e altri ruoli di Management e operativi è un fattore di successo nel definire il ruolo del DPO.
La RACI Chart è uno strumento importante per un’azienda per definire procedure interne e interazioni reciproche tra ruoli interni sulla base di essere Accountable, Responsible, Consulted, Informed per ciascun ruolo.
Il framework Cobit 5 di ISACA per la Governance ed il il management dell’IT aziendale è una roadmap di eccellenza per l’ottimizzazione del business e della crescita .che fa leva su prassi provate, leadership di pensiero globale e strumenti per l’innovazione ed il successo aziendale.
In una prospettiva di RACI Chart, il framework COBIT5 di ISACA evidenzia processi e controlli rilevanti di cui può essere responsabile un DPO, o un Chief Privacy Officer (CPO) in assenza di tutti i requisiti richiesti dal GDPR, su tutto il ciclo di vita di un sistema informativo.
I Principali processi Cobit 5 che richiedono attività del DPO in un coordinamento di RACI Chart sono: Gestione della Qualità, Gestione dei Rischi, Gestione della Sicurezza, Gestione dell’identificazione e della costruzione di soluzioni, Gestione dell’abilitazione del cambiamento organizzativo, Gestione della Conoscenza, Monitoraggio rilevazione e valutazione del sistema di controllo interno, Monitoraggio rilevazione e valutazione della conformità a requisiti esterni.
Approfondendo la RACI Chart di Cobit 5 si può notare che DPO (o CPO) condividono alcune Responsabilità con il Security Manager per molti obiettivi di controllo Cobit 5. Le procedure interne dovrebbero definire le reciproche responsabilità tra i due ruoli.
Il framework di ISACA è utile per definire compiti e responsabilità del DPO.
L’Indipendenza Organizzativa ed operativa, con modalità simili a quella degli Auditor Interni e di Sistema Informativo, è la chiave per evitare conflitti di interesse per il DPO nell’espletare altri compiti e funzioni.