Non è sempre necessario nominare un DPO per rispettare il GDPR. Ma questa figura può portare nell’organizzazione aziendale un vantaggio competitivo, unendo business e rispetto dei dati e della privacy dei clienti.
Per certi aspetti, il GDPR introduce una vera e propria rivoluzione degli adempimenti privacy. In questa sede, vale la pena soffermarsi su una delle principali novità previste dalla normativa ovvero la figura del Data Protection Officer (DPO).
Effetto della responsabilizzazione
Il DPO rappresenta una delle principali declinazioni pratiche del principio di responsabilizzazione introdotto dal GDPR, che riconosce maggior autonomia ai titolari e ai responsabili del trattamento dei dati personali, fermo restando che vengano rispettati gli obblighi e i principi fondamentali di liceità e correttezza del trattamento. In prima istanza, le banche dovranno saper individuare la necessità di nominare un DPO o meno.
Quando è obbligatorio nominare un DPO
L’Art. 37 del GDPR prevede che la nomina di un DPO sia obbligatoria nel caso in cui l’attività principale di business consista:
• nel monitoraggio regolare e sistematico degli interessati su larga scala;
oppure
• nel trattamento su larga scala di categorie particolari di dati personali (sensibili) o di dati relativi a condanne penali e reati.
In particolare, dovrà essere valutata l’importanza del trattamento dei dati personali nell’ambito della propria attività e del target market (per esempio, in caso di attività bancarie rivolte esclusivamente alle imprese, ove ci si limiti a trattare i dati identificativi dei rappresentanti dell’azienda per esclusive ragioni di antiriciclaggio, potrebbe non essere richiesta la nomina di un DPO).
Perché nominare volontariamente un DPO
Tuttavia, nel caso in cui il soggetto non risulti essere tenuto alla nomina di un DPO, potrebbe essere comunque valutata la designazione di un Data Protection Officer su base volontaria, nell’ottica di trasformare la gestione dei dati personali in un vantaggio competitivo. Tale figura potrebbe infatti contribuire in modo attivo a coadiuvare le funzioni di business nel comprendere il modo più appropriato per coniugare due aspetti talvolta percepiti come antitetici: sviluppo e tutela del business (anche mediante attività volte a conoscere meglio la propria clientela o a proteggersi da frodi) da un lato, e rispetto della dignità degli interessati e del loro diritto all’autodeterminazione sul trattamento dei dati, dall’altro.
Che cosa fa il DPO
Il DPO ha un ruolo consultivo, e e accompagna l’istituto nelle sue scelte in materia di trattamento di dati personali, supportando e indirizzando la gestione dei processi relativi ai trattamenti dei dati. Senza dubbio il suo ruolo non comprende l’adozione delle decisioni finali circa il trattamento dei dati, che spettano al titolare o al responsabile. Per svolgere adeguatamente la sua funzione, il DPO dovrà avere qualità professionali adeguate alla complessità del compito da svolgere: a tal fine, il DPO deve essere selezionato tra figure con competenze tecnico-legali, piena consapevolezza dei trattamenti posti in essere dall’istituto e una buona conoscenza del settore in cui esso opera. Anche per queste ragioni è stato esplicitamente previsto dal Regolamento la possibilità di nominare un professionista o un’organizzazione esterna in qualità di DPO. Non è peraltro obbligatorio che il DPO possieda attestazioni o certificati, ma documentare le sue esperienze e la partecipazione a corsi professionali può essere opportuno.
Indipendente e con una struttura a supporto
Il DPO dovrà essere supportato da una struttura organizzativa volta a sostenerlo nell’adempimento dei suoi compiti. Occorre in ogni caso garantire che la posizione del DPO sia indipendente rispetto alle altre funzioni dell’azienda e che esso nonriceva istruzioni nell’esecuzione dei suoi compiti, né sanzioni per lo svolgimento del proprio incarico. Pertanto, non potrà essere assegnato il ruolo di DPO a chi ricopre una funzione a livello esecutivo in azienda, per evitare i conflitti di interessi. Per le grandi banche, la nomina di un DPO potrebbe quindi rappresentare un adempimento in termini organizzativi non trascurabile, in quanto la figura dovrebbe operare con l’insieme delle professionalità esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformità al GDPR, integrandosi nell’organizzazione aziendale e creando di fatto una funzione ad hoc.
