Ultimo aggiornamento: 28 gennaio 2022
Tra le novità più significative introdotte dal GDPR (Regolamento Europeo 2016/679) c’è il DPO Data Protection Officer, indicato in Italia anche con l’acronimo RPD (Responsabile della Protezione dei Dati).
Il DPO è un consulente esperto che deve avere competenze giuridiche, informatiche e gestionali. Affianca il titolare e il responsabile del trattamento dei dati personali nell’applicazione del GDPR e la protezione dei dati personali dei soggetti interessati.
Quella del DPO è una figura professionale che era già diffusa nelle legislazioni anglosassoni. Rappresenta la naturale evoluzione del privacy officer, figura introdotta per la prima volta in Germania nel 1970. In seguito la sua figura fu disciplinata a livello europeo dalla Direttiva Privacy del 1995 (Direttiva sulla protezione dei dati 95/46/CE), abrogata proprio dal GDPR.
Vediamo quali sono le caratteristiche principali del DPO, rispondendo ad alcune domande.
La designazione del DPO è sempre obbligatoria?
Nel privato NO.
Ai sensi dell’art. 37 è necessario nominare un DPO solo se:
- le attività principali del titolare o del responsabile del trattamento sono trattamenti che – per natura, ambito di applicazione o finalità – richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
oppure
- le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (ad esempio, quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici o biometrici intesi a identificare in modo univoco una persona fisica).
Nel pubblico SÌ.
Ogni volta che il trattamento dei dati è effettuato da un’autorità o un organismo pubblico, il titolare o il responsabile del trattamento sono tenuti a nominare un DPO. Fanno eccezione le autorità giurisdizionali nell’esercizio delle loro funzioni.
Può essere nominato DPO un dipendente del titolare del trattamento?
Sì, purché il dipendente non si vada in conflitto di interessi. In alternativa, si deve nominare DPO un soggetto esterno all’azienda, con un contratto di servizi.
Quali sono i requisiti necessari per poter essere nominati DPO Data Protection Officer?
Il DPO nominato dal titolare del trattamento o dal responsabile del trattamento dovrà:
a) disporre di un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o misure atte a garantire la sicurezza dei dati.
Il Garante della Privacy ha precisato che non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali. Tuttavia, la partecipazione a master e corsi di studio/professionali aiutano a valutare il possesso di un livello adeguato di conoscenze.
b) poter adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse.
Ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali (es. l’amministratore delegato).
Quali sono i compiti del DPO Data Protection Officer?
L’articolo 39 dispone che il DPO deve, in particolare:
- sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
- collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
- informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i loro dipendenti, sugli obblighi del regolamento e di altre disposizioni in materia di protezione dei dati;
- cooperare con il Garante e fungere per lui da punto di contatto su ogni questione connessa al trattamento;
- supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche riguardo alla tenuta di un registro delle attività di trattamento.
Da ultimo, si segnala l’importante contributo dato dal nostro Garante per la Protezione dei Dati Personali, che il 2 ottobre 2019 ha pubblicato sul proprio sito web la versione italiana del manuale contenente le “Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici”, un documento essenziale per coadiuvare l’attività dei DPO e supportarli nei numerosi compiti a loro assegnati.