Chi è il Data Protection Officer (DPO)?
Il Data Protection Officer (di seguito DPO) è una figura introdotta dal GDPR (Regolamento generale sulla protezione dei dati 2016/679), pubblicato sulla Gazzetta Ufficiale europea L. 119 del 4 maggio 2016.
La norma prevede che tutti gli enti pubblici ed alcune categorie di aziende private nominino un soggetto qualificato che si occupi in maniera esclusiva della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza.
In merito alla designazione di tale soggetto, l’art. 37 del GDPR prevede che “1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”
Tanto per chiarire, l’art. 9 riguarda i dati cosiddetti sensibili da cui si può desumere “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche” di una persona, o la sua appartenenza sindacale. Così come i dati genetici e/o biometrici intesi a identificare in modo univoco una persona fisica, nonché quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale.
L’art. 10 si riferisce al trattamento dei dati personali relativi alle condanne penali e ai reati, che deve avvenire soltanto sotto il controllo dell’autorità pubblica, salvo i casi in cui questo viene effettuato con il consenso dell’interessato, o si rende necessario per i motivi di ordine superiore previsti dall’articolo 6, paragrafo 1 dello stesso GDPR.
Cosa deve fare il DPO
Il DPO è un professionista (può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata).
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO.
“1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”
Scelta del DPO
Secondo le prime indicazioni del Garante privacy, al responsabile della protezione dei dati personali non è richiesta l’iscrizione ad appositi Albi, ma anche se non sono previste attestazioni formali, sia le pubbliche amministrazioni che i soggetti privati dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenza ed esperienza specifica. Dovrà avere un’approfondita conoscenza della normativa e della prassi in materia di privacy nonché la padronanza delle norme e delle procedure amministrative che caratterizzeranno lo specifico settore di riferimento. Sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali ed esperienze adeguate alla complessità del compito da svolgere, comprovate e documentate.
Considerato che Il DPO può essere anche un dipendente dell’Ente o dell’azienda, presumibilmente, per questioni di economicità si cercherà di nominare come DPO un soggetto già presente all’interno della struttura, ma la scelta deve essere considerata con oculatezza tenendo conto delle dimensioni aziendali e delle qualità personali della persona nominata. Difficilmente all’interno dell’Azienda è già presente una figura con i requisiti richiesti dalla nuova normativa (preparazione specialistica, formazione continua ed esperienza concreta acquisita sul campo nel corso del tempo).
Occorre tener conto anche del principio di imparzialità che contraddistingue questa nuova figura: un dipendente, avendo altri incarichi all’interno dell’azienda, potrebbe risultare in conflitto di interessi per il ruolo che occupa. Il DPO deve essere, invece, il supervisore, una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali. Meglio sarebbe, quindi, optare per un professionista esterno che svolge questa attività in maniera esclusiva anche per più enti, magari coadiuvato da uno o più soggetti interni all’organizzazione aziendale in grado di rappresentare le motivazioni, le modalità e le finalità del trattamento.