A meno di un mese della piena efficacia del GDPR capita sempre pi\u00f9 spesso di osservare discussioni, on line o durante i convegni, sul ruolo del DPO, sulle competenze richieste, sulle possibili attivit\u00e0 operative dello stesso, sul fatto che possa o meno svolgere la sua attivit\u00e0 presso l’azienda dove ha implementato il GDPR, sulla corretta retribuzione di tale figura\u2026<\/p>\n
\u00c8 interessante notare come ancora ci si interroghi se sia meglio che il DPO sia un legale, con qualche competenza informatica, o un informatico con competenze legali\u2026<\/p>\n
Spesso la conclusione di tali discussioni \u00e8 che in realt\u00e0 quello del DPO \u00e8 un ruolo che viene delegato ad un ufficio, nel quale sono presenti pi\u00f9 figure che hanno le diverse competenze richieste e che quindi non ha molta importanza quali siano le reali competenze di un DPO \u2026come dire che le evidenti carenze del singolo devono essere compensate da altri colleghi, trasformando il DPO in un team.<\/p>\n
L\u2019aspetto pi\u00f9 interessante \u00e8 che in tutto questo discutere, ed anche nell\u2019agenda dei numerosi corsi[1]<\/a> per DPO che hanno invaso la penisola, manchi del tutto o sia relegato ad un ruolo assolutamente marginale, uno dei compiti assegnati alla figura del DPO, quello della SORVEGLIANZA[2]<\/a>, come recita l’articolo 39 del GDPR:<\/p>\n <\/p>\n Il responsabile della protezione dei dati \u00e8 incaricato almeno dei seguenti compiti: <\/em><\/p>\n …<\/p>\n b) sorvegliare <\/strong>l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonch\u00e9 delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilit\u00e0, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attivit\u00e0 di controllo <\/em><\/p>\n Tale \u201cdimenticanza\u201d \u00e8 comprensibile, se si considera la scarsa o inesistente dimestichezza nei confronti di un’attivit\u00e0 di SORVEGLIANZA e quindi in ultima analisi di AUDIT, da parte della maggior parte degli aspiranti DPO\u2026<\/p>\n Un’attivit\u00e0 difficile, quella dell\u2019AUDITOR, che ovviamente non si improvvisa e che richiede competenze specifiche e metodo.<\/p>\n Al riguardo basterebbe in realt\u00e0 consultare i contenuti dell\u2019unica certificazione per DPO attualmente rilasciata da un’AUTORITA’ GARANTE, quella spagnola, ed il relativo schema di esame:<\/p>\n http:\/\/www.agpd.es\/portalwebAGPD\/temas\/certificacion\/index-ides-idphp.php<\/a><\/p>\n Il DPO (e non un suo ufficio), secondo tale schema viene esaminato su tre fronti: le competenze legali (in merito alle conoscenze delle normative privacy), le competenze in ambito sicurezza ed analisi dei rischi ed infine le attivit\u00e0 di AUDIT.<\/p>\n Lo schema rappresenta un ottimo esempio delle competenze richieste ad un DPO e dovrebbe essere utilizzato da quanti, Titolari e Responsabili, si apprestano a designare tale figura.<\/p>\n Troppo spesso ci si dimentica infatti che, una volta stabilito l\u2019obbligo di un DPO, Titolare e Responsabile devono ricorrere a figure professionalmente preparate ed \u00e8 loro obbligo dare evidenza dei criteri che hanno adottato nella scelta, criteri che come ovvio, possono essere contestati da un soggetto esterno preposto alla verifica.<\/p>\n Analogamente \u00e8 responsabilit\u00e0 di tali soggetti stabilire un corretto compenso per il DPO.<\/p>\n Ben difficilmente figure interne ad un\u2019organizzazione si vedranno compensare adeguatamente il proprio nuovo ruolo.\u00a0Tale tema interessa soprattutto i soggetti che, esternamente all\u2019azienda, saranno chiamati a svolgere tale incarico.<\/p>\n Quest\u2019ultima soluzione viene da molti adottata per vari motivi. Al di l\u00e0 della mancanza di competenze interne vi \u00e8 una errata, ma diffusa convinzione, che il DPO sia il parafulmine rispetto agli adempimenti normativi, cio\u00e8 il soggetto su cui ricadranno le responsabilit\u00e0 in merito al rispetto o meno della normativa.<\/p>\n Niente di pi\u00f9 errato ovviamente, visto che il DPO non \u00e8 sanzionabile nemmeno per i trattamenti di dati personali che lui stesso svolge nella propria attivit\u00e0 di DPO e che le responsabilit\u00e0 restano in capo al Titolare o Responsabile.<\/p>\n Recitano in proposito le Linee guida sui responsabili della protezione dei dati<\/strong><\/p>\n Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, \u201cmette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento \u00e8 effettuato conformemente al presente regolamento\u201d (articolo 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilit\u00e0 d\u2019impresa del titolare del trattamento, non del RPD.<\/em><\/p>\n Per determinare se un compenso \u00e8 corretto o meno \u00e8 necessario fissare almeno un parametro di riferimento.<\/p>\n Ad esempio se stabiliamo che un equo compenso per tale figura sia di 500 euro al giorno ne consegue che un compenso di 20 mila euro annui corrispondono a 40 giorni di attivit\u00e0 lavorativa.<\/p>\n \u00c8 ragionevole pensare che un DPO esterno dedichi tale tempo per svolgere il proprio ruolo in un\u2019azienda (o in un’\u00a0associazione, o in un ente pubblico\u2026)?<\/p>\n Dipende ovviamente dal tipo di organizzazione, dalle sue dimensioni, dai tipi di trattamenti effettuati, dal tempo che viene dedicato allo svolgimento dei trattamenti nell\u2019organizzazione (8 ore per 5 giorni come di solito avviene in un\u2019azienda, 24 ore per 7 giorni come avviene in un ospedale…).<\/p>\n \u00c8 un tempo probabilmente ragionevole in una grande organizzazione che effettua incidentalmente trattamenti di dati particolari, ma che ha scelto comunque di avere un DPO; \u00e8 ragionevole per un ente pubblico che non tratta dati particolari, ma che per obbligo di legge deve avere un DPO; \u00e8 probabilmente ragionevole per una piccola organizzazione che tratta dati particolari.<\/p>\n Non \u00e8 ovviamente ragionevole per una grossa organizzazione che tratta dati particolari presso la quale un DPO, seppur esterno, dovrebbe essere costantemente presente.<\/p>\n Ecco quindi che il compenso per il DPO non \u00e8 pi\u00f9 un elemento neutro, liberamente determinabile senza alcun criterio da parte di Titolare e Responsabile, ma come molti altri elementi di questa normativa (anche se questo \u00e8 ancora poco compreso da Titolari e Responsabili che pensano ancora ad un legame diretto fra azione e sanzione), un elemento che contribuisce a valutare la reale conformit\u00e0 alla norma. Compensi troppo bassi presuppongono una scarsa professionalit\u00e0 del DPO e\/o un tempo troppo limitato da dedicare al compito; di queste carenze il Titolare o il Responsabile risponderanno in sede di verifica ispettiva.<\/p>\n Al riguardo \u00e8 opportuno considerare che le Linee guida sui responsabili della protezione dei dati <\/strong>cos\u00ec recitano:<\/p>\n E\u2019 fondamentale disporre di tempo sufficiente da dedicare allo svolgimento dei compiti previsti per il RPD; una prassi da raccomandare consiste nel definire la percentuale del tempo lavorativo destinata alle attivit\u00e0 di RPD quando quest\u2019ultimo svolga anche altre funzioni. Un\u2019altra buona prassi consiste nello stabilire il tempo necessario per adempiere alle relative incombenze, definire il livello di priorit\u00e0 spettante a tale incombenze, e prevedere che il RPD stesso (ovvero l\u2019azienda\/l\u2019organismo titolare o responsabile) rediga un piano di lavoro;<\/em><\/p>\n e ancora<\/p>\n In linea di principio, quanto pi\u00f9 aumentano complessit\u00e0 e\/o sensibilit\u00e0 dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione \u201cprotezione dati\u201d deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.<\/em><\/p>\n In particolare la dove le informazioni sul compenso del DPO \u00e8 pubblica (enti pubblici o manifestazione di interesse di aziende private) un valore non congruo con il ruolo, pu\u00f2 costituire un elemento di allerta per quanti devono individuare le organizzazioni da controllare; chiunque infatti ha il compito di effettuare delle verifiche nel predisporre il proprio piano di azione seleziona le organizzazioni in funzione del maggior rischio di non conformit\u00e0.<\/p>\n <\/p>\n [1]<\/a> Personalmente ho dovuto faticare non poco per inserire almeno un cenno alle attivit\u00e0 di audit in un prestigioso master per DPO che ho contribuito a progettare.<\/p>\n [2]<\/a> \u00c8 interessante notare come la consulenza e la sorveglianza siano attivit\u00e0 ex ante ed ex post tipiche ad esempio della Compliance, anche se personalmente ritengo che l\u2019attivit\u00e0 ex post di un DPO sia molto pi\u00f9 simile a quella dell\u2019audit<\/p>","protected":false},"excerpt":{"rendered":" A meno di un mese della piena efficacia del GDPR capita sempre pi\u00f9 spesso di osservare discussioni, on line o durante i convegni, sul ruolo del DPO, sulle competenze richieste, sulle possibili attivit\u00e0 operative dello stesso, sul fatto che possa o meno svolgere la sua attivit\u00e0 presso l’azienda dove ha implementato il GDPR, sulla corretta\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[466,467,468,10],"class_list":["post-4022","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","tag-audit","tag-compenso-dpo","tag-competenze-dpo","tag-dpo"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=4022"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4022\/revisions"}],"predecessor-version":[{"id":4067,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4022\/revisions\/4067"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=4022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=4022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=4022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}