La figura del responsabile della protezione dei dati, più comunemente noto con l’acronimo inglese DPO (Data Protection Officer), ha rappresentato una delle novità di maggiore interesse introdotte dal GDPR. Se, infatti, tale soggetto era già previsto in altre legislazioni nazionali, in Italia si è trattato di una novità, almeno per come il suo ruolo è definito dal regolamento generale sulla protezione dei dati. Vediamo quando è obbligatorio nominarlo, che ruolo ha, quali sono le sue funzioni.
Chi è obbligato ad avere il DPO
Tre sono i casi previsti dal GDPR in cui la designazione del DPO da parte del titolare e del responsabile del trattamento è obbligatoria quando:
il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le
autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
le attività principali del titolare del trattamento o del responsabile del trattamento consistono in
trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio
regolare e sistematico degli interessati su larga scala;
le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel
trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne
penali e a reati.
Sussistendo una di queste tre situazioni, la designazione del DPO non può essere opzionale e deve
sistematicamente avvenire.
Negli altri casi, invece, salvo che specifiche norme di diritto interno o europeo non dispongano
diversamente, la nomina del DPO è facoltativa e rimessa alla discrezionalità del titolare o del responsabile
del trattamento.
Quali requisiti deve avere il DPO
Il GDPR, oltre a indicare i casi di designazione obbligatoria del DPO, indica anche quali requisiti deve avere il
soggetto che ne assume la carica.
Innanzitutto, il DPO può essere:
interno, cioè un dipendente del titolare o del responsabile del trattamento;
esterno, cioè una persona fisica o giuridica che opera in base a un contratto di servizi.
La scelta tra un DPO interno o esterno è rimessa al titolare o al responsabile del trattamento, ma, di certo, è
una scelta che per lo più viene condizionata dalle qualità professionali che il soggetto deve avere e dalla
posizione che deve essergli assicurata.
Infatti, prevede il GDPR che il DPO:
deve avere una conoscenza specialistica della normativa privacy;
deve conoscere la prassi in materia di data protection;
deve avere la capacità di assolvere le sue funzioni di competenza.
DPO, che posizione deve avere in azienda
Il GDPR assicura al DPO determinate garanzie atte a permettergli lo svolgimento del suo ruolo in modo
indipendente e imparziale.
In particolare, il GDPR pone specifici obblighi in capo al titolare e al responsabile del trattamento, i quali
devono:
assicurarsi che il DPO sia costantemente e adeguatamente coinvolto sulle questioni inerenti alla
protezione dei dati personali;
fornire al DPO le risorse necessarie per assolvere alle sue funzioni;
consentire al DPO di accedere ai dati personali e ai trattamenti;
assicurarsi che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi
compiti.
Proprio a garanzia dell’indipendenza del DPO, è previsto che:
non possa essere rimosso o penalizzato per aver assolto alle sue funzioni;
riferisca direttamente all’organo di vertice del titolare o del responsabile del trattamento.
Dal canto suo, il DPO deve:
attenersi al segreto e alla riservatezza in merito all’adempimento dei propri compiti;
ove svolga anche altre funzioni, non deve venire a trovarsi in posizione di conflitto di interessi.
Cosa fa il DPO
Il GDPR prevede una serie di compiti che il DPO deve necessariamente essere incaricato di svolgere.
informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai
dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e dalle altre
norme europee e nazionali in ambito privacy;
sorvegliare l’osservanza del GDPR e della normativa privacy in genere,
sorvegliare l’osservanza delle procedure aziendali sulla protezione dei dati personali, compresi
l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa
ai trattamenti e alle connesse attività di controllo;
fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e
sorvegliarne lo svolgimento;
cooperare con l’Autorità garante per la protezione dei dati personali;
fungere da punto di contatto per l’Autorità garante per la protezione dei dati personali per
questioni connesse al trattamento.
A questi compiti, tassativamente previsti e che il DPO deve essere in grado di adempiere, è prevista la
possibilità per il titolare e il responsabile del trattamento di affidargliene altri, quali, ad esempio, la tenuta
del registro delle attività di trattamento sotto l’autorità del titolare o del responsabile del trattamento.