Sono state recentemente pubblicate dall’Autorità Garante per la Protezione dei dati personali, le FAQ relative alla obbligatorietà di individuazione di un Data Protection Officer (DPO) da parte dei Titolari del trattamento.

Ricordiamo che il DPO è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679   e viene designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del Regolamento Europeo in materia di protezione dei dati personali. Questa funzione comporta dunque un coinvolgimento costante e tempestivo su quelle tematiche inerenti la protezione dei dati personali essendo peraltro chiamato a cooperare con l’Autorità laddove necessario e costituendone un punto di contatto con la stessa oltre che con gli interessati.

Fatta la dovuta premessa, ecco l’aspetto rilevante emerso dalle recenti FAQ: al punto 3) alla domanda “Chi sono i soggetti privati obbligati alla sua designazione?”, nell’elenco indicatoin risposta troviamo le società che forniscono servizi informatici. Ebbene, a tre anni dall’entrata in vigore del Regolamento finalmente viene fatta chiarezza su un aspetto tutt’altro che secondario. Difatti, gran parte delle aziende prestatrici di servizi informatici non particolarmente strutturate hanno ritenuto sino ad oggi di non essere tenute a tale obbligo. E questo ha provocato al loro business conseguenze non banali non tanto sul fronte dell’obbligo normativo (quella del Garante è una “precisazione” a fronte di un obbligo vigente dal 25 maggio 2018) ma soprattutto alla luce del business svolto e del mancato rischio gestito. La figura del DPO difatti è spesso riportata ad un concetto molto “legale” della privacy, spostato sull’adeguamento documentale tralasciandone invece l’impatto sulle attività svolte: in una società di servizi informatici, vi sono una serie di attività in cui la privacy ha un peso estremamente importante sia sulla fase di acquisizione del Cliente, che su quella di rilascio dei servizi o sviluppo delle soluzioni sino ad arrivare al termine del rapporto.

Vediamo nello specifico. Partiamo da un esempio di base: lo sviluppo del software. Qualsiasi azienda che sviluppi deve applicare un concetto di privacy by design: difatti, anche se il core del software può essere non legato direttamente ai dati, va da sé che i dati personali siano essenziali nelle fasi autenticazione o di amministrazione del sistema. Ebbene, riuscire a determinare nella fase di realizzazione l’impatto privacy and security by design equivale ad investire in modo corretto e poter andare sul mercato con le garanzie normative funzionali anche alla protezione del Cliente finale (che in qualità di titolare è sanzionabile nell’ipotesi di violazione del privacy by design anche se strutturato dal Fornitore). Proprio il DPO come figura che concilia il mondo legale con quello informatico (ovviamente avendone le conoscenze opportune e non improvvisandosi tale!) può prevenire una serie di problematiche connesse a scelte erronee: spesso nelle nomine a responsabili ricevute dalle società di servizi informatici vi sono contenuti sottovalutati che ne ampliano le incombenze: il DPO è una figura in grado di comprendere, valutare e nel caso “raccordare” i contenuti con il Cliente per evitare al Fornitore una serie di responsabilità talvolta “ciclostilate” in modo incoerente dal Cliente stesso.

Pertanto, anche se questa precisazione nelle FAQ risulterà per molte società una novità, certamente dovranno comprendere come a fronte di un nuovo “costo” ed una modalità organizzativa da integrare con il DPO, ciò possa rappresentare una attività di prevenzione dei rischi derivanti da una inconsapevole gestione del tema privacy nei rapporti con i Clienti e spesso anche con i subfornitori (per i quali peraltro sussistono responsabilità lato privacy anche a carico della società stessa).

L’importante ovviamente sarà selezionare un DPO che ben conosca la tematica privacy ma altrettanto conosca l’informatica nei dettagli in modo da non costituire un fattore deterrente allo sviluppo ma incentivante per valorizzarne la competitività sul mercato.