Soggetti

Shape 5 Live Search

logo

Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.

Il DPO è sostanzialmente l'evoluzione del "privacy officer", figura prevista dalla direttiva europea 95/46 laddove, all'art. 18, consentiva agli Stati dell'Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca l'applicazione della normativa.

Il ruolo di DPO può essere affidato ad un membro dell'azienda ma può anche essere esternalizzato a un fornitore di servizi, nel qual caso dovrà essere nominato anche responsabile del trattamento. È difficilmente immaginabile, infatti, che un responsabile della protezione dei dati possa svolgere le sue funzioni senza avere accesso ai dati personali elaborati dal responsabile del trattamento. Può essere una persona fisica o un’organizzazione. 

 

Nomina

E' designato dal titolare o dal responsabile del trattamento, in base ad un contratto, ed opera alle loro dipendenze. Tale designazione è obbligatoria solo nei seguenti casi:

- per amministrazioni ed enti pubblici (eccetto autorità giudiziarie);
- se l'attività principale consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati
- se l'attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale. 

Il Garante italiano ha precisato che non esiste alcun obbligo di nominare DPO soggetti che abbiano attestati o con partecipazione a corsi di formazione,  né esiste alcun albo professionale, quanto piuttosto necessita l'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Secondo l'autorità italiana è opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio. 

La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo tale designazione finalizzata a facilitare l'attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento. E ciò appare ovvio soprattutto nell'ambito degli enti pubblici e delle aziende che effettuano un monitoraggio su larga scala degli individui. Il DPO deve, infatti, possedere un'adeguata conoscenza delle normative e delle prassi di gestione dei dati personali, deve adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse
Ovviamente, titolare e responsabile devono mettere a disposizione del DPO le risorse umane e finanziarie per poter svolgere il suo compito. 

L'articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l'adempimento dei propri compiti. Questo proprio a tutela della sua autonomia. In tal senso appare difficile ritenere che tale autonomia sia giustificabile nell'ambito di un rapporto di lavoro dipendente, per cui sarebbe preferibile che il DPO sia un soggetto esterno. 

 

Compiti

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia e quindi verificarne l’attuazione e l’applicazione. Se richiesto, potrà fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.  Il suo ruolo, inoltre, prevede che possa essere il punto di contatto, non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti. Potrà, infine, consultare il Garante anche di propria iniziativa. 

 DPO Garante infografica