Il DPO, acronimo di Data Protection Officer o anche detto Responsabile per la protezione dei dati, costituisce una delle figure più importanti nonché una vera novità del Regolamento UE 679/2016.
Ed invero, l’art. 37 del Regolamento prevede che il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (Data Protection Officer o DPO) quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 GDPR (dati di natura particolare) o di dati relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.
Il DPO ricopre il punto di riferimento sia del Titolare del trattamento sia del Responsabile del trattamento nonché essere contattato dagli interessati al trattamento relativamente alle azioni dei propri diritti ex artt. 15-22 del Regolamento.
Il DPO può essere un soggetto esterno o interno all’azienda o alla struttura o Ente pubblico. Qualora si opti per un soggetto esterno, il Titolare procederà a stipulare un contratto di servizio con la persona – fisica o giuridica – aggiudicataria della procedura selettiva, nella quale saranno indicati i requisiti di partecipazione, la durata e le caratteristiche di esecuzione della prestazione. Il contratto dovrà poi individuare in maniera inequivocabile il soggetto che opererà come responsabile della protezione dei dati disciplinando compiutamente tutto quanto previsto dalla normativa di riferimento.
Il ruolo di RPD può essere affidato anche a soggetto interno al plesso aziendale, la cui nomina andrà formalizzata, anche qui, con un atto di designazione. Da tale atto, oltre ai compiti e alle funzioni che vengono assegnate al DPO, dovranno emergere le motivazioni che hanno determinato la scelta di individuare il proprio responsabile della protezione dei dati nella persona fisica selezionata.
Come precisato dal Garante, la specificazione dei criteri utilizzati nella valutazione compiuta dall’azienda nella scelta di tale figura, oltre a essere indice di trasparenza e buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di responsabilizzazione.
Nell’attribuzione interna del ruolo del DPO, il titolare dovrà porre particolare attenzione a che gli altri compiti e funzioni svolti dal dipendente non determinino, anche solo in potenza, alcun conflitto di interessi.
Le attività che il DPO sarà chiamato a svolgere funzioni “ibride” come, a titolo esemplificativo:
- informare e fornire consulenza al titolare;
- curare la formazione del personale;
- sorvegliare l’osservanza della normativa;
- fornire un parere in merito alle valutazioni d’impatto (se richiesto);
- cooperare con l’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali);
- fungere da punto di contatto tra l’Autorità e il Titolare.
In linea di principio, la scelta del DPO dovrà ricadere su di un dirigente o un funzionario di alta professionalità che possa svolgere le proprie funzioni in autonomia e indipendenza senza necessità di ricevere al riguardo istruzioni da parte del titolare su come espletare le funzioni attribuitegli.
Al fine di garantire al DPO il corretto svolgimento delle proprie funzioni, avuto riguardo anche al grado di complessità dei trattamenti e dell’organizzazione, il Titolare dovrà fornire al responsabile della protezione dei dati le risorse necessarie per assolvere ai compiti demandati, accedere ai dati personali e ai trattamenti e mantenere la propria conoscenza specialistica. Talora potrebbe dunque prospettarsi l’opportunità di realizzare un’unità o gruppo di lavoro sotto il diretto controllo del RPD il quale indicherà a ciascun collaboratore i compiti assegnati. In tal caso il DPO resterà sempre e comunque il punto di contatto nelle relazioni con il Titolare.
Avv. Eleonora Mataloni