L’intervista

DPO, il white paper per gestire meglio i rapporti con società ed enti. Intervista a Rodolfo Mecarelli (ASSO DPO)

di |

Intervista a Rodolfo Mecarelli (ASSO DPO): “Ci auguriamo che il Paper possa, almeno, provocare alcune iniziali riflessioni tali da poter meglio affrontare le dialettiche professionali che il DPO deve affrontare durante il suo lavoro e alle quali non può certo sfuggire”.

Una guida per i Data Protection Officer (DPO) per gestire al meglio i rapporti con società ed Enti. Questo è l’obbiettivo del white paper “Rapporti tra il responsabile della protezione dei dati (RPD | DPO), gli altri organi societari e le funzioni di controllo degli enti” a cura degli esperti data protection del Comitato Scientifico di ASSO DPO | Settore Privato. 

Tra i curatori del paper Rodolfo Mecarelli, coordinatore del gruppo Enti privati all’interno del Comitato Scientifico di ASSO DPO. Una curiosità: si è congedato con il Grado di Generale dalla Guardia di Finanza.

Key4biz. Il White Paper “Rapporti tra il Responsabile della protezione dei dati (RPD | DPO), gli altri Organi societari e le Funzioni di controllo degli enti” a chi è rivolto e con quale obiettivo?

Rodolfo Mecarelli. Innanzi tutto, è rivolto a coloro che stanno svolgendo la professione (o intendono farlo) del Responsabile della protezione dei dati personali. Per l’Italia tale professione, così come definita dal Regolamento europeo n.679 del 2016, rappresenta una novità assoluta. Novità ben delineata e disciplinata dal predetto Regolamento (il GDPR) in tre densi articoli da leggere, studiare, approfondire e applicare operativamente nelle aziende, o per meglio dire, negli enti dove il Responsabile (il RPD o il DPO nell’acronimo inglese) sarà nominato. Gli enti della Pubblica Amministrazione, infatti, devono obbligatoriamente selezionarlo e nominarlo.   

Il Paper è stato pensato anche per coloro che amministrano gli enti, quelle persone fisiche che hanno il governo dei Titolari o Responsabili del trattamento in quanto persone giuridiche. Cioè il management con cui il DPO deve confrontarsi, a cui deve riportare i suoi pareri, suggerimenti, osservazioni e raccomandazioni. 

Sono questi soggetti, che in virtù del loro potere decisorio, hanno la possibilità (direi l’obbligo) di armonizzare i rapporti tra le varie Funzioni/Aree dell’ente; tra esse quelle relative alle Funzioni di controllo come, per esempio, la Compliance, il Risk Management, l’Internal Audit oltre naturalmente al Collegio Sindacale, Organo di controllo per eccellenza. 

Nel Paper si è cercato di elencarle tutte seppur (ovviamente) in maniera sintetica e quanto più pragmatica possibile.

Ma si è tentato anche di esporre alcune riflessioni su altri Organi di un ente, quale quelli (sociali) di Amministrazione (come il Consiglio di Amministrazione) e dell’Assemblea dei Soci. Quest’ultima sembra troppo spesso dimenticata. Al contrario si ritiene che i soci, per i danni patrimoniali che un ente potrebbe affrontare a causa di una sanzione per violazioni alla normativa (e il GDPR a questo proposito, per l’entità delle sanzioni stesse, pretende una grande attenzione) o per un contenzioso giudiziale magari per effetto di richiesta di risarcimento di danni per non parlare poi dei danni reputazionali all’immagine dell’ente stesso, dovrebbero essere coinvolti con maggiori informazioni circa l’assetto organizzativo che l’ente si è dato, in questo caso quello relativo alla protezione dei dati personali.

Dpo_Pa_rotazione_ANAC

Key4bizPerché il White Paper aiuta i DPO a gestire meglio i rapporti con società ed enti?

Rodolfo Mecarelli. Ci auguriamo che il Paper possa (almeno) provocare alcune iniziali riflessioni tali da poter meglio affrontare le dialettiche professionali che il DPO deve affrontare durante il suo lavoro e alle quali non può certo sfuggire. La domanda consente di puntualizzare alcuni temi che sono certamente ineludibili: il primo, la preparazione dei DPO non solo specifica sulla protezione dei dati personali ma anche sulle diverse tipologie di organizzazioni aziendali, in particolare degli enti dove è stato nominato; il secondo, la duttilità, la costanza e aggiungiamo l’empatia nello svolgimento delle sue prestazioni; il terzo, la sua permanente formazione e il suo costante aggiornamento. Sembra che ci sia ancora qualche errore di valutazione su questa professione che si è presentata da pochi anni nel nostro mondo del lavoro, cioè che per svolgerla sia sufficiente un corso seppur robusto e svolto da docenti molto preparati. Non è così, basti pensare ad uno dei compiti del DPO, quello di rappresentare il punto di contatto con l’Autorità Garante della protezione dei dati personali. Ora, per essere all’altezza di dialogare con il personale del Garante Privacy o con quello del Nucleo ispettivo privacy della Guardia di Finanza non pare ci possano essere più dubbi che la preparazione complessiva del DPO debba essere ai massimi livelli.    

Quindi, molto bene i corsi che rappresentano i necessari blocchi di partenza (con il deciso suggerimento di selezionarli attentamente per scegliere quelli concretamente efficaci ed effettivi), bene la certificazione che (seppur, per ora, non prevista normativamente) aiuta a corroborare le conoscenze e a mantenere l’aggiornamento. Ma poi tanta e tanta applicazione costante sulla legislazione europea e nazionale “tallonando” il nostro Garante, quello europeo e anche gli altri Garanti degli Stati membri dell’Unione per i Provvedimenti e le Linee Guida che via via sono adottate. Con un occhio attento alle sanzioni che vengono irrogate nel tempo dagli stessi Garanti. 

gdpr-2-sanzioni-per-DPO

Key4bizIl DPO deve interfacciarsi e farsi rispettare tra tante figure apicali in aziende ed enti, come fare?

Rodolfo Mecarelli. Bella domanda. Si potrebbe rispondere d’emblée che dipende tutto dall’autorevolezza del DPO e che l’autorevolezza si conquista con la preparazione professionale, la serietà nello svolgimento dei propri compiti e la dimostrazione concreta della indipendenza. Certamente la quotidiana operatività porta con sé diversi problemi, tra essi quelli legati all’empatia, a volte alla rivalità tra le Funzioni/Aree interessate, al desiderio di conseguire gli obiettivi che l’ente si è proposto o che vuole raggiungere (mi viene ora in mente la funzione marketing che potrebbe essere confliggente con quella del DPO). Ma siccome il DPO non è nell’ente per ostacolarlo ma per dare tutto il suo supporto affinché la mission sociale sia conseguita con la massima (e possibile) remuneratività (il DPO deve dimostrare che questo si può raggiungere comunque nel rispetto della legge), ecco che allorquando sarà chiaro a tutti (a cominciare dai vertici degli enti interessati) che la protezione dei dati personali, proprio perché ha la finalità di tutelare le persone, rappresenta un asset che genera valore aggiunto alle azioni e alla immagine dell’ente, anche e soprattutto il DPO non solo sarà “accettato” dalle figure apicali e, quindi, dalle Funzioni e Organi indicati nel nostro Paper, ma sarà posto nella posizione tale da poter dare il suo apporto sin dalla progettazione dei trattamenti dei dati (soddisfacendo così quella privacy by design che nettamente il GDPR ha voluto tracciare come il principio che sta alla base della responsabilizzazione dei Titolari del trattamento).   

Non dimentichiamoci che il GDPR oltre che alla protezione dei dati personali (quindi alla protezione delle persone fisiche) tende alla libera circolazione dei dati stessi (così, infatti, è intitolato). 

operazione_data_room_come_proteggere_dati_call_center

Key4bizQual è la funzione del DPO secondo il GDPR?

Rodolfo Mecarelli. Tre articoli del Regolamento, il 37, 38 e 39, definiscono la designazione, la posizione e i compiti. 

Sono tutti e tre da studiare bene e rileggere più volte. Sono i tre articoli che costituiranno la base del contratto o della lettera di incarico (per i DPO interni). Tre articoli che per primo il DPO dovrà rispettare assieme, naturalmente, al “suo” Titolare o Responsabile del trattamento. Si dice che il 

DPO porti tre cappelli: quello del soggetto che esprime pareri e suggerimenti, quello del controllore e infine quello di “ufficiale di collegamento” con l’Autorità di controllo cooperando con essa. Io ne aggiungerei un quarto: il cappello che dovrebbe precedere i tre citati, quello cioè del valutatore dei rischi, che “considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo” (paragrafo 2 dell’art. 39). Ecco, così appare questo compito davvero particolare, certamente non facile e che richiede una preparazione specifica, ma che il DPO deve mettere nel bagaglio professionale per ben sostenere la dialettica operativa che necessariamente si sviluppa con le altre Funzioni dell’ente. Parallelamente deve svilupparsi la considerazione, da parte del management, che il “rischio privacy” dovrà (deve) essere ormai compreso tra tutti gli altri rischi d’impresa o dell’ente che sia.    

Key4biz. Cos’altro vuole aggiungere?

Rodolfo Mecarelli. Augurandomi che la lettura del Paper di ASSODPO sia interessante e che possa offrire spunti di attenzione, naturalmente diversi a seconda delle varie strutture degli enti, auguro ai DPO/RPD buon lavoro convinto che questa professione possa dare autentiche soddisfazioni e che non annoi mai. 

È infatti una attività che, costringendo a stare “sul pezzo”, come si suol dire, pretende una immersione quotidiana nei cambiamenti normativi, tecnici e organizzativi dell’epoca in cui si vive e di quella a cui si tende e, conseguentemente, degli enti dove si sta svolgendo il ruolo di Responsabile della protezione dei dati personali.

Per approfondire

Il link all’anteprima del white paper “Rapporti tra il responsabile della protezione dei dati (RPD | DPO), gli altri organi societari e le funzioni di controllo degli enti”