Chi è il Data Protection Officer?

Il Data Protection Officer (in sigla DPO o D.P.O.) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il D.P.O. (nel codice italiano indicato come R.P.D. Responsabile della Protezione dei Dati), figura già presente in alcune legislazioni europee (spesso confuso con le sigle Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura professionale che ha un ruolo determinante nella protezione dei trattamenti di dati personali di ogni organizzazione.

Chi deve nominare il DPO?
Il Regolamento prescrive ad alcune organizzazioni l’obbligo di nomina della figura del Responsabile alla Protezione dei Dati Personali, come:

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

A questa pagina ulteriori approfondimenti sulle tipologie di organizzazioni in obbligo di nomina.

Quali sono i compiti del DPO?
I compiti primari assegnati dal Regolamento al Data Protection Officer sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
  5. essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Chi può essere nominato DPO?
In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di D.P.O.; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è richiesta anche una formazione adeguata e continua.
L’organizzazione che procede alla nomina del DPO dovrà allegare alla stessa le risultanze della valutazione di adeguatezza, in base alla quale è stato scelto il candidato tra tutti gli altri; si presti quindi molta attenzione a motivare la scelta, in quanto la nomina di una figura inadeguata o in conflitto di interessi potrebbe configurare la famigerata culpa in eligendo (ed alcuni provvedimenti delle varie autorità di controllo nazionali hanno evidenziato proprio questo aspetto).

La figura DPO, risorsa esterna o interna?
Le organizzazioni di dimensioni limitate o che non hanno figure adeguate da investire dell’incarico di DPO-RPD debbono certamente nominare una figura esterna, che abbia i requisiti indicati. Alcune organizzazioni – anche di grandi dimensioni e con caratteristiche di trattamento complesse – che non dispongano di figure interne dalle capacità adeguate o che manifestino conflitti di interessi, avranno beneficio nel nominare una figura giuridica esterna (team di esperti), specialmente quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari.
Qualora l’organizzazione disponga di una figura qualificata al suo interno (per esempio il responsabile della funzione privacy), si consiglia di nominare il soggetto interno, per la migliore conoscenza delle dinamiche aziendali e della caratterizzazione dei trattamenti.
Occorre fare attenzione a che non sussistano conflitti di interessi tra il ruolo svolto in azienda e il ruolo di DPO (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali ed amministrativi già incaricati di altri compiti). Segnaliamo con forza che il responsabile dei sistemi informativi non potrà mai svolgere il ruolo di DPO, in quanto in palese conflitto di interessi.

Autonomia del DPO
Il Regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sulla effettuazione dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

La nomina del DPO rileva il board aziendale dalle responsabilità GDPR?
No, la figura del DPO è intesa come “facilitatore  e controllore” delle procedure e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le responsabilità.

Il DPO deve essere formalmente nominato?
La risposta è affermativa; nell’ipotesi di incarico ad un team o una società, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente opererà come RPD, riportandone espressamente le generalità. E’ poi necessario che nell’atto di designazione o nel contratto di servizi risultino indicate le motivazioni che hanno indotto il management a scegliere quel soggetto per svolgere la funzione di RPD. La nomina dovrà essere comunicata al Garante, indicata sulle informative e sul sito web aziendale.

Il nostro team di professionisti certificati ISO/IEC 17024:2003 e/o UNI 11697/2017 è in grado di svolgere il ruolo ed accettare l’incarico di DPO – RPD nelle organizzazioni di qualunque dimensione, in tutta Italia.

Contattateci per richieste, preventivi o solo per conoscerci; pensiamo di poter fare la differenza!

i nostri ultimi articoli in tema Data Protection Officer