Parlando della nomina del DPO con molti dei miei clienti (strutture sanitarie pubbliche e/o private ed aziende del settore sanitario) è emerso che molti hanno l’intenzione di nominare come DPO il proprio responsabile interno di ICT.
A parer mio questa soluzione può rivelarsi non corretta.
L’art. 37 del RGDP stabilisce infatti che
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
L’art. 39 a sua volta stabilisce che il DPO deve
informare e fornire consulenza …. in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
sorvegliare l’osservanza del presente regolamento nonchè,….. la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
L’art. 38 stabilisce che il DPO deve essere in una posizione di indipendenza (comma 3) e non deve essere in una posizione di conflitto di interessi (comma 6).
Le FAQ allegato alle Linee guida del WP29 – WP243 Guidelines on Data Protection Officers (‘DPOs’) – ANNEX FAQ al punto 3.3. titolato “Istruzioni e indipendenza della condotta” risponde alle seguente domanda
9. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? (art. 38, paragrafo 3)
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento:
– nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD;
– nessuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD;
– nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT),……….
In sostanza il DPO deve:
- avere conoscenza giuridiche nazionali, comunitarie e (se del caso) dei diversi paesi UE
- sensibilizzare del personale
- formare il personale
- essere in posizione di indipendenza
- non essere in posizione di conflitto di interessi
Alla luce di quanto sopra, è possibile che il manager IT aziendale non sia in grado di soddisfare tutti requisiti richiesti
Peraltro il 20 ottobre 2016 il Garante tedesco ha sanzionato una società che aveva nominato il proprio responsabile IT come DPO (figura già presente oggi in Germania) in ragione del fatto che lo stesso, per i ruoli rivestiti n azienda, si trovava in posizione di conflitto di interessi.
Forse occorre cominciare a pensare che il DPO – come l’ODV della 231/2001 – può essere un soggetto giudico esterno che vanti al suo interno diverse competenze (legali, informatiche, di audit)
Tale possibilità è peraltro pacificamente ammessa anche dalla Linee Guida del WP29 al punto 2.4.
su questo punto continuano ad esserci fraintendimenti, anche se è uno dei pochi punti su cui GDPR e linee guida del WP29 sono di una chiarezza cristallina. il DPO interno potrà essere cumulato sì con altre figure, ma NON con ruoli che abbiano incarichi operativi e che concorrano a determinare ed applicare ad esempio le misure di sicurezza. questo è sicuramente il caso dell’IT manager, per cui appare chiaro che sia da escludere un cumulo con tale carica. la sanzione tedesca dovrebbe essere un argomento valido, speriamo che passi il messaggio…
..e invece tutti pensano di nominare l’IT manager….
sono tutti convinti che sia la soluzione migliore (e più facile..)
sulle decisioen tedesca ho trovato solo articoli di commento in inglese
non riesco a sapere se è stata impugnata oppure no..
qualcuno ha notizie?
Concordo completamente con Silvia
Il problema che continua a non essere risolto è la reale indipendenza di un soggetto che, anche qualora fosse inteso in modo analogo all’OdV di cui al d.lgs 231/2001, spesso non è davvero indipendente … figurarsi quanto potrebbe essere “indipendente” l’IT manager …
Come al solito il problema è legato al fatto che aziende e pubbliche amministrazioni, un pò per cultura e un pò per taglio ai costi cercano di individuare questa figura fra i dipendenti esistenti. In ogni caso, parlando di indipendenza nei confronti del Titolare del trattamento (inteso come datore di lavoro), un dipendente non avrà mai indipendenza (ad esempio le mansioni chi le definisce? ecc.. ).
Quindi la scelta di individuare un soggetto esterno (che dovrà essere competente) come DPO è molto conveniente.
Subentra però un problema: Individuare un soggetto esterno costa!!
Quindi, a meno che la Direzione non sia molto sensibile sull’argomento, è difficile che venga individuato un soggetto esterno come DPO. In tal caso come poter limitare i rischi? Avete suggerimenti?
Il DPO esterno quasi nessuna azienda lo richiede proprio per i costi elevati.
A mio avviso un dipendente può essere nominato DPO, fermo restando che non abbia conflitti d’interesse e che sia competente in materia di privacy e sicurezza dei dati.
Ovviamente il dipendente che accetta il compito di DPO deve ricordare di essere indipendente dal titolare (nel ruolo di DPO) e che deve svolgere il proprio ruolo in completa autonomia.
Mi risulta che sono in circolazione ditte e singoli professionisti che offrono di assumere il ruolo di DPO per piccole aziende con costi estremamente contenuti (zona Milano e provincia).
In effetti il DPO non ha nessuna responsabilità per quanto riguarda l’effettiva ottemperanza del Titolare al GDPR, il suo ruolo è fondamentalmente di assistenza e consiglio, per esempio nella redazione della DPIA o la corretta compilazione del registro delle elaborazioni, audit periodico ecc.
Per queste piccole aziende o studi professionali, ecc. non ci sono motivi per cui debba presentare costi particolarmente elevati, è equiparabile a un qualsiasi consulente che avrà un costo orario ed un impegno su base annuale molto limitato. Cosa si intende per “costi elevati”, e quale sarebbe il motivo, se togliamo la responsabilità?
Perché molte persone, purtroppo, ci giocano su questa cosa visto che ormai il DPO è una figura obbligatoria e quindi richiesta da ogni azienda pronta a pagare caro per mettersi in regola con il GDPR. Come dici tu, Daniele, il DPO non ha alcuna responsabilità con piccole aziende o studi professionali, ma mi è capitato di vedere piccole aziende farsi due conti per poter pagare un DPO che aveva chiesto una cifra enorme per la sua prestazione.
Giuseppe, sul fatto che il DPO/RPD sia “ormai obbligatorio” immagino che tu ti riferisca al fatto che il 25 maggio è passato, ma fatto sta che il 90% delle piccole aziende non rientra nei parametri e non ha nessun obbligo di nomina. Tuttavia tantissimi “consulenti” si avventano come falchi su qualunque tipo di azienda e cercano di convincere i titolari dell’obbligatorietà del DPO (e si propongono ovviamente per il ruolo). Ho sentito chiedere 375 euro/anno e 12.000 euro/anno. Inutile prrendersela con il Garante che non informa adeguatamente (anche se qualche accenno ai criteri per valutare i costi del DPO per le PMI sarebbe alquanto opportuno, eccome): nessuno dei titolari che conosco si è mai degnato nemmeno di dare un’occhiata al sito, anzi molti non sanno nemmeno che esista. Il vero problema sono forse le associazioni di categoria, che non informano i soci per bene e spesso per non rischiare di sbagliare si allineano alle interpretazioni più restrittive. E allora: DPO per tutti! E mi raccomando: fate una DPIA di 100 pagine anche se vendete frutta e verdura.
Sia come sia, il risultato finale è quello di una scarsa informazione, molto terrorismo e altri costi scaricati sulle aziende (una tassa sulla privacy, via…).
Daniele la penso esattamente come te. Non aggiungo altro perché hai già detto tutto.
Molti ne approfittano (specie sulle piccole aziende) perché sanno che la colpa non ricadrà mai su di loro.