Datenschutzbeaufttragter

5 Falsi Miti riguardo la figura del DPO

La nomina di un DPO (Data Protection Officer) oppure in italiano RPD (Responsabile per la protezione dei dati) crea continuamente confusione nelle aziende. Nonostante la chiara regolamentazione nella sezione IV del Regolamento (GDPR), riscontriamo spesso interpretazioni differenti. Alcuni sostengono “Tutti hanno bisogno del RPD” ed altri sono convinti che “Nessuno ha bisogno di un RPD” – come dire: “Io comunque non ne ho bisogno”. Ma che cosa è giusto e quali altri miti a riguardo ci sono ancora? Vediamo di seguito i 5 falsi miti riguardo la figura del DPO.

1. “Chiunque ha bisogno del RPD” contro “Nessuno ha bisogno del RPD”

5 falsi miti-RPD-Datenschutzbeauftragter

Foto: Pixabay, copyright by Free-Photos, 690084, CC0 1.0

È chiaro che tutte e due le opinioni non possono contemporaneamente essere corrette, e la verità è che nessuna delle due è corretta. Effettivamente, la soluzione si trova in mezzo alle due affermazioni. Alcuni imprenditori sono dell’avviso che la figura del DPO sia necessario soltanto a partire da una certa dimensione d’azienda, altri fissano l’obbligo esclusivamente al numero dei dipendenti. Proprio qui c’è l’errore.

Fatto è che l’azienda deve incaricare un RPD quando “le attività principali consistono nel trattamento, su larga scala, di categorie particolari (art.9 come per esempio l’orientamento sessuale o religioso, dati della salute, etc.) o di dati relativi a condanne penali e a reati”. Ovviamente ha bisogno di un Responsabile per la Protezione dei Dati anche l’azienda che effettua trattamenti che, per loro natura-ambito-finalità, richiedono un monitoraggio continuo e sistematico degli interessati su larga scala (per esempio la videosorveglianza, sistemi di tracciamento, localizzatori, GPS etc.). Un PRD è senza dubbio necessario quando il trattamento è effettuato da un’autorità o organismo pubblico.

La designazione del RPD è un buon esempio per le clausole d’apertura, come trattato in un nostro precedente post.

La legge tedesca prevede l’obbligo della figura del DPO per le aziende che impiegano continuativamente almeno 10 persone nel trattamento dei dati.

2. Noi non abbiamo l’obbligo di nominare un RPD quindi non dobbiamo implementare il GDPR.

Questo pensiero è sbagliato! Il GDPR è valido in tutta Europa e riguarda chiunque elabori dati personali per scopi commerciali e/o economici.

L’adeguamento al GDPR quindi non dipende dall’obbligo di designare un RPD o meno. La valutazione se è necessario adempire al nuovo Regolamento dipende dal luogo in cui si trova la tua azienda, da chi sono gli interessati e da dove questi risiedono. Inoltre, va valutato come e per quale scopo si elaborano i dati personali.

Il RPD è indispensabile se i dati sono trattati da un’autorità pubblica o un organismo pubblico, se si tratta di un monitoraggio sistematico e se si elabora dati particolarmente “delicati”.

3. Il RPD non ci serve, lo facciamo da soli

Spesso si sente ancora dire che l’azienda non necessita assolutamente di un RPD e che qualcuno della propria organizzazione è tranquillamente in grado di coprire tale ruolo e svolgere, in qualche maniera, tutti i suoi compiti.

Anche questo è un credo sbagliato. Se sussistono i presupposti all’obbligo di designazione della figura del DPO, come da art.37 GDPR, il titolare del trattamento è obbligato a pubblicare i dati di contatto del RPD e di comunicarli alle autorità di controllo.

Se non viene incaricato un RPD si rischia una sanzione che può arrivare fino a 10 milioni di Euro oppure il 2% del fatturato globale annuo dell’azienda.

4. “Il RPD deve provenire dall’interno dell’azienda” contro “Il RPD non può assolutamente provenire dalla propria azienda”

Tutte e due sono affermazioni interessanti e tutte e due sbagliate. Non è vera né l’una né l’altra affermazione perché si tratta di una opzione “facoltativa”. Ti è consentito nominare come Responsabile per la Protezione dei Dati una persona capace facente parte della tua azienda. Questa persona deve però essere scelta in base a determinate qualifiche.

È anche permesso incaricare una persona esterna, scelta sensata nel momento in cui non si riesce ad individuare una persona qualificata all’interno della propria azienda. In questi casi si possono trovare aziende specializzate che ti mettono a disposizione e ti affiancano un esperto in materia.

Altra credenza sbagliata è che ogni azienda all’interno di un gruppo deve designare il proprio RPD. Non è necessario, come si legge nell’art.37 GDPR. Il regolamento consente di nominare un’unica persona, basta che sia facilmente reperibile per tutti. A volte questa risulta essere una scelta sensata in quanto limita notevolmente anche la divulgazione di dati aziendali riservati o segreti a persone esterne.

5. La figura del RPD c’è solo allo scopo di guadagnare. Sono tutti uguali. Mi trovo quello più economico

I falsi miti - DPO - Datenschutzbeauftragter

Foto: Pixabay.com, copyright by rawpixel, 3748708, CC0 1.0

Non è una buona idea. Non c’è nulla al contrario se scegli un RPD a buon prezzo oppure se nomini una persona all’interno della tua impresa, dove puoi regolare direttamente l’ammontare dello stipendio. Tuttavia, in base all’art.37 comma 5 GDPR, hai l’obbligo di scegliere il RPD in base a criteri ben precisi:

“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. 

Ciò significa che non puoi scegliere in base al prezzo ma in base alle capacità e qualifica. D’altronde, un RPD ricopre una posizione importante nella tua azienda e, come imprenditore, sei TU responsabile per le violazioni al regolamento. Quindi, anche per eventuali errori commessi dal tuo “RPD a buon prezzo”. Il fatto di essere particolarmente economico deriva, per la maggior parte dei casi, dalla limitata esperienza e scarsa preparazione. Questa scelta ti può costare molto cara! 

Conclusione

Il Responsabile per la protezione dei dati assume un ruolo molto importante nella tua azienda e perciò dovresti sceglierlo con molta cura. Nel caso si tratti di un dipendente interno, offrigli soprattutto la possibilità di frequentare dei corsi di formazione e di aggiornamento e assicurati che acquisisca la posizione necessaria all’interno della tua impresa, come richiede l’incarico.

La giusta scelta metterà in netto vantaggio la tua azienda; ti tutela da sanzioni salate e dai danni d’immagine e di reputazione, soprattutto nel caso in cui tratti particolarmente tanti e/o delicati dati personali.

 

Desideri ulteriori informazioni? Non sei sicuro se ti serve o no un DPO? O magari vuoi incaricare un tuo dipendente ma non sei sicuro se è conveniente per te?

In ogni caso, contattaci subito. La nostra prima consulenza gratuita ti chiarirà le idee.