{"id":2354,"date":"2017-01-26T10:34:17","date_gmt":"2017-01-26T09:34:17","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2354"},"modified":"2017-05-03T11:09:17","modified_gmt":"2017-05-03T09:09:17","slug":"dpo-and-organizational-models-in-the-company","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/26\/dpo-and-organizational-models-in-the-company\/","title":{"rendered":"DPO e modelli organizzativi in azienda"},"content":{"rendered":"

A partire dal 25 maggio 2018, i titolari o i responsabili del trattamento, come previsto dall\u2019articolo 37 del GDPR \u2013 General Data Protection Regulation, dovranno obbligatoriamente nominare un DPO \u2013 Data protection Officer, nei seguenti specifici tre casi:<\/p>\n

1.quando il trattamento \u00e8 effettuato da un\u2019autorit\u00e0\/ente pubblico;<\/p>\n

2.quando il \u201ccore business\u201d<\/em> del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; o<\/p>\n

3.quando il \u201ccore business\u201d<\/em> del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.<\/p>\n

La materia \u00e8 stata oggetto di un\u2019autorevole analisi da parte del Gruppo di lavoro ex Articolo 29 dei Garanti UE[1]<\/a> (wp29), che il 13 dicembre 2016 ha emanato delle Linee Guida sul Responsabile della protezione dei dati \u2013 DPO. Le linee guida approfondiscono i casi di nomina obbligatoria del DPO, i concetti di \u201ccore business\u201d<\/em>, \u201clarga scala\u201d[2]<\/a>, \u201cmonitoraggio regolare e sistematico\u201d, \u201cconflitto di interessi\u201d nonch\u00e9 le competenze e le conoscenze che la figura professionale del DPO dovr\u00e0 possedere.<\/p>\n

In particolare, il wp29, all\u2019interno delle linee guida, evidenzia che il DPO dovr\u00e0 possedere competenze e capacit\u00e0 direttamente commisurate al livello di complessit\u00e0 delle attivit\u00e0 di trattamento poste in essere dal titolare o dal responsabile del trattamento. Pi\u00f9 in particolare il DPO dovr\u00e0 essere un esperto della normativa europea in tema di data protection (GDPR), dovr\u00e0 conoscere il settore in cui opera il titolare e la sua organizzazione, i processi e le operazioni poste in essere dallo stesso, nonch\u00e9 possedere competenze informatiche e di sicurezza. All\u2019interno delle linee guida viene sottolineato altres\u00ec che il DPO dovr\u00e0 possedere elevate qualit\u00e0 personali in quanto dovr\u00e0 svolgere il suo ruolo con integrit\u00e0 ed etica professionale assicurando innanzi tutto il rispetto e l\u2019osservanza delle norme in tema di data protection. Non appare superfluo ricordare che il diritto alla protezione dei dati personali \u00e8 un principio sancito dalla \u201cCarta dei diritti fondamentali dell\u2019Unione europea\u201d.<\/em><\/p>\n

Quanto sopra detto evidenzia a mio parere che il DPO, per quanto competente, dovr\u00e0 essere supportato da una struttura organizzativa volta a sostenerlo nell\u2019adempimento dei suoi compiti e dovr\u00e0 operare in assenza di conflitto di interessi. La figura professionale del DPO infatti \u00e8 incompatibile con le figure di vertice che definiscono le finalit\u00e0 e le modalit\u00e0 di trattamento dei dati (amministratore delegato, direttore operativo, responsabile finanza, responsabile del marketing, responsabile delle risorse umane, responsabile IT etc.).<\/p>\n

Per le aziende, la figura o meglio la \u201cstruttura\u201d del DPO, rappresenter\u00e0 un costo e un adempimento in termini organizzativi non trascurabile. Le grandi aziende, dotate di risorse economiche adeguate e di risorse competenti potranno strutturare le proprie organizzazioni in modo tale da garantire al DPO un ufficio ad hoc<\/em> ove all\u2019interno opereranno figure esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformit\u00e0 al GDPR (Nella tabella 1 si raffigura un esempio di organigramma con DPO di una grande impresa). Nel contempo, in queste aziende, dovranno essere presenti altres\u00ec strutture pi\u00f9 operative, che si dovranno occupare della concreta realizzazione degli adempimenti normativi previsti dal GDPR, che potremo chiamare convenzionalmente struttura del \u201cPrivacy Officer\u201d; pensiamo ad esempio alla redazione dei moduli d\u2019informativa alla clientela, della cura delle nomine a responsabile esterno del trattamento dei dati, la realizzazione del Privacy impact assesment che verr\u00e0 poi supervisionato dalla struttura del DPO etc.<\/p>\n

\"\"<\/a><\/p>\n

Anche le aziende di medio grandi dimensioni, sono generalmente gi\u00e0 dotate di risorse interne con competenze in risk management, legali, normative, IT, etc., anche se non specializzate in ambito data protection. Un secondo modello organizzativo che potr\u00e0 quindi essere adottato in molte realt\u00e0 medio\/grandi si baser\u00e0 su una figura di DPO indipendente, che insieme a un numero contenuto di collaboratori, nello svolgere le proprie attivit\u00e0, potr\u00e0 avvalersi del supporto e della collaborazione dei vari uffici \u2013 compliance, legale, Sicurezza, IT, internal audit \u2013 che a diverso titolo e livello contribuiranno al pieno rispetto dei principi sanciti in ambito Privacy. Soprattutto in una fase di implementazione iniziale del nuovo modello organizzativo, il DPO potr\u00e0 avvalersi altres\u00ec del supporto costante di una societ\u00e0 di consulenza esterna, alla quale potr\u00e0 rivolgersi affinch\u00e9 si possa rafforzare il presidio di conformit\u00e0 al nuovo Regolamento (Nella Tabella 2, un esempio di organigramma con DPO in aziende medio\/grandi).<\/p>\n

\"\"<\/a><\/p>\n

Inoltre, un ulteriore modello organizzativo esplicitamente previsto dalla normativa europea, da la possibilit\u00e0 al titolare o al responsabile di nominare un professionista o un\u2019organizzazione esterna in qualit\u00e0 di DPO. E\u2019 ipotizzabile che tale servizio venga offerto da una societ\u00e0 di consulenza ben strutturata oppure da un gruppo di professionisti che uniranno singole competenze all\u2019interno di un TEAM affinch\u00e9 possano seguire i propri clienti in modo efficiente.<\/p>\n

Fermo restando quanto sopra esposto, per il contesto industriale italiano implementare uno dei modelli organizzativi sopra proposti rappresenter\u00e0 un’utopia. Il 90% circa delle imprese italiane infatti, presenta un numero di addetti inferiori a 10 e soltanto l\u2019onere di assumere una risorsa qualificata come un DPO comporterebbe dei costi troppo elevati per molte di queste. Da questo punto di vista, nella proposta di Regolamento europeo in tema di data protection, era stato ragionevolmente previsto che soltanto le imprese con pi\u00f9 di 250 addetti sarebbero state tenute a nominare un DPO. Tale limite dimensionale non \u00e8 pi\u00f9 presente nella versione definitiva del GDPR. Ritengo che ampio dibattito e attenzione andranno dedicati al tema dell’ applicazione del GDPR nelle PMI in quanto la nuova disciplina europea potrebbe comportare dei costi di adempimento insostenibili per le stesse. Per contro, per\u00f2, le stesse PMI potrebbero avere serie difficolt\u00e0 a rimanere sul mercato, soprattutto quando le stesse opereranno in stretta connessione con aziende di grandi dimensioni che pretenderanno il rispetto di quanto sancito dal GDPR, in primo luogo in termini di sicurezza.<\/p>\n

Conclusioni<\/u><\/strong><\/p>\n

L\u2019 evoluzione della normativa europea in tema di Privacy, l\u2019impatto della stessa su pressoch\u00e9 tutti gli ambiti aziendali, il crescente utilizzo e trattamento dei dati per scopi operativi e commerciali da parte delle aziende imporr\u00e0 alle stesse di dotarsi di un\u2019organizzazione consona al tipo di attivit\u00e0 svolta. La figura del DPO sar\u00e0 di fondamentale importanza per la compliance al Regolamento europeo nonch\u00e9 per diffondere la cultura della data protection in azienda. In un mondo sempre pi\u00f9 fortemente interconnesso, il rispetto dei principi privacy potr\u00e0 rappresentare un fattore competitivo rilevante per molte realt\u00e0 aziendali e, per alcune di esse, un elemento essenziale per continuare a stare sul mercato nonostante sia innegabile che l\u2019aumento della complessit\u00e0 organizzativa legata al GDPR porter\u00e0, soprattutto in una fase iniziale, ad un aumento dei costi che per realt\u00e0 di piccole e piccolissime dimensioni potr\u00e0 rivelarsi insostenibile.<\/p>\n

[1]<\/a> Il Gruppo \u00e8 stato istituito dall’art. 29 della direttiva 95\/46, \u00e8 un organismo consultivo e indipendente, composto da un rappresentante delle autorit\u00e0 di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonch\u00e9 da un rappresentante della Commissione. Il presidente \u00e8 eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Per maggiori approfondimenti http:\/\/www.garanteprivacy.it\/home\/attivita-e-documenti\/attivita-comunitarie-e-internazionali\/cooperazione-in-ambito-ue\/gruppo-di-lavoro-ex-articolo-29<\/a><\/p>\n

[2]<\/a> Le linee guida contengono degli esempi concreti dai quali si evince che banche, assicurazioni, ospedali, aziende che effettuano trattamenti di geo-localizzazione trattano dati su larga scala e quindi saranno tenute a nominare un DPO.<\/p>","protected":false},"excerpt":{"rendered":"

A partire dal 25 maggio 2018, i titolari o i responsabili del trattamento, come previsto dall\u2019articolo 37 del GDPR \u2013 General Data Protection Regulation, dovranno obbligatoriamente nominare un DPO \u2013 Data protection Officer, nei seguenti specifici tre casi: 1.quando il trattamento \u00e8 effettuato da un\u2019autorit\u00e0\/ente pubblico; 2.quando il \u201ccore business\u201d del Titolare o del Responsabile\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":226,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,2],"tags":[10,305,304,81],"class_list":["post-2354","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-legal-framework","tag-dpo","tag-modelli-organizzativi","tag-organigramma","tag-wp29"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/226"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2354"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2354\/revisions"}],"predecessor-version":[{"id":2364,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2354\/revisions\/2364"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}