Il Data Protection Officer (DPO) o anche Responsabile per la protezione dei dati (RPD) è una figura introdotta dal Regolamento Europeo in materia di protezione dei dati personali (GDPR 2016/679).
Il DPO è l’evoluzione del “privacy officer”, figura prevista dalla direttiva europea 95/46, oggi abrogata dal GDPR.
Questo soggetto, già conosciuto in alcune legislazioni europee, si aggiunge alle figure preesistenti del titolare e del responsabile del trattamento dei dati.
La funzione di questa nuova figura, in linea con i principi su cui si fonda il regolamento europeo, è quello di garantire una tutela rafforzata e più responsabile della privacy.
Il DPO, nella veste di consulente qualificato, affianca il titolare del trattamento nella gestione delle problematiche inerenti il trattamento dei dati, occupandosi in maniera esclusiva della materia della protezione dei dati personali, in considerazione dei rischi nonché delle misure di sicurezza da adottare.
I compiti
Tutelare i dati personali e facilitare l’attuazione del regolamento da parte del titolare e del responsabile sono i compiti principali che competono a questo nuovo soggetto.
Il DPO svolge prevalentemente un ruolo consultivo e, secondo quanto previsto dall’art 39 GDPR, il DPO è incaricato dei seguenti compiti:
- CONSULENZA: Informare e fornire consulenza rispetto agli obblighi previsti dalle norme in materia;
- SORVEGLIANZA: Vigilare sull’osservanza del regolamento europeo;
- VALUTAZIONE: Fornire pareri, se richiesti, ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati;
- COOPERAZIONE: Cooperare con l’Autorità di controllo;
- PUNTO DI CONTATTO: interfacciarsi con l’Autorità di controllo su questioni connesse al trattamento.
Le responsabilità
Il DPO non è personalmente responsabile dell’inosservanza degli obblighi in materia di protezione dei dati personali, questo infatti rientra tra i compiti del titolare il quale, ai sensi dell’art 24 GDPR, deve mettere in atto le misure tecniche ed organizzative adeguate per garantire che il trattamento è effettuato conformemente al regolamento.
Il DPO risponde esclusivamente per l’esecuzione dei propri compiti di consulenza e assistenza nei confronti del titolare del trattamento che è (eventualmente in solido col responsabile) l’unico soggetto responsabile del rispetto della normativa vigente.
I requisiti
I requisiti del DPO sono individuati nella norma UNI 11697:2017.
In linea generale il Responsabile per la protezione dei dati deve essere un soggetto indipendente in grado di garantire l’applicazione della normativa. Per tali ragioni deve quindi possedere un’adeguata conoscenza della materia dal punto di vista legislativo e delle prassi di gestione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
L’autorità italiana di controllo ha precisato che non è necessario che il DPO possegga attestati o che abbia partecipazione a corsi di formazione. Secondo il Garante italiano, infatti, è opportuno che la selezione venga dirottata verso soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, semmai con esperienze di master o corsi di studio.
L’autonomia e l’indipendenza sono caratteristiche imprescindibili del soggetto che riveste questo ruolo, il quale deve adempiere alle proprie funzioni in assenza di conflitti di interesse.
Il Regolamento europeo stabilisce che il titolare e il responsabile devono supportare il DPO mettendogli a disposizione risorse umane e finanziarie per poter svolgere il suo compito.
Il Responsabile per la protezione non riceverà alcuna istruzione per quanto riguarda lo svolgimento dei propri compiti dai soggetti che lo hanno designato; quest’ultimi non potranno sindacare sul suo operato, né potranno licenziarlo o penalizzarlo.
Nell’ottica dell’autonomia sarebbe preferibile che il DPO sia un soggetto esterno (persona fisica od organizzazione) ma secondo il GDPR questo ruolo può essere assegnato anche ad un dipendente aziendale tramite un contratto apposito. Vi è inoltre la possibilità di nomina di un unico DPO per un gruppo di imprese con la finalità di ridurre notevolmente i costi.
La nomina
In applicazione del GDPR (art. 37), il titolare o il responsabile del trattamento provvedono alla nomina del DPO. Tale designazione deve essere comunicata all’ Autorità di controllo nazionale ed è obbligatoria per legge, nei seguenti casi:
- quando il trattamento dei dati è gestito da amministrazioni ed enti pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni);
- quando l’impresa fonda la propria attività principale (“core business”) sul trattamento di dati che richiedono un controllo sistematico degli interessati su larga scala;
- quando l’azienda tratta dati sensibili, relativi a situazioni economiche, patrimoniali, giuridiche ma anche relativi allo stato di salute dei soggetti profilati.
Di contro, è raro che una azienda di piccole o medie dimensioni abbia l’obbligo di nominare un DPO, salvi i casi in cui queste trattino grandissime quantità di dati, grazie anche ai supporti informatici.
VP
[…] alle aziende diversi strumenti per non incorrere in violazioni quali la nomina del DPO (leggi anche Il Data Protection Officer), la valutazione d’impatto, il registro dei trattamenti, la consultazione con le autorità di […]