DPO: Data Protection Officer

Tra i principali obblighi previsti dal GDPR c’è (per alcune società) quella di inserire all’interno della propria organizzazione il DPO, Data Protection Officer.

Presente già in molte legislazioni europee (si pensi ad esempio: Chief Privacy Officer – CPO -, Privacy Officer, Data Security Officer), dal 25 maggio 2018 è obbligatorio per i tutti i 28 stati dell’Unione Europea, diventando un elemento imprescindibile per la tutela dei diritti personali.

Ma chi è il DPO? Quali sono le sue responsabilità? 

In questo articolo cercheremo di far luce su questa figura, per molti ancora sconosciuta e sul quale aleggiano molteplici elementi poco chiari, soprattutto in merito all’obbligo di nomina e alle competenze dello stesso.

CHI E’ IL DATA PROTECTION OFFICER?

Il Data Protection Officer (DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 I GDPR. Per ricoprire questo ruolo, il DPO, deve possedere competenze giuridiche, informatiche, di risk management e di anali dei processi. La sua responsabilità principale è quella di dover osservare, valutare e organizzare la gestione del trattamento dei dati personali (quindi la protezione di questi) all’interno dell’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO è quindi un consulente tecnico e legale che deve consigliare, sorvegliare ma anche fungere da tramite tra l’organizzazione e l’autorità.

In realtà, l’ Art. 37 del Regolamento non specifica quali debbano essere le qualità professionali per rivestire la carica di DPO (le uniche linee guida sono state emanate dal WP29, a livello comunitario, e dal Garante delle FAQ). Si evince, tuttavia, che il soggetto debba possedere comprovata esperienza e conoscenza sulla legislazione relativa alla protezione dei dati personali (sia a livello Nazionale che Europeo) e del Regolamento. 

Il GDPR consente alle organizzazioni di scegliere se nominare un DPO interno o esterno: può essere un dipendente dell’azienda o un libero professionista che lavora per l’azienda.

CHI DEVE NOMINARE IL DPO? 

Sono 5 i soggetti con cui si interfaccia il DPO:

  1. Le imprese
  2. La PA
  3. L’utente privato
  4. I clienti
  5. Le autorità garanti

Il Regolamento sulla Data Protection, disciplina e obbliga l’istituzione del DPO in tre casi:

  1. Quando l’organizzazione è un ente o organismo pubblico;
  2. Quando le attività principali dell’organizzazione consistono in operazioni di trattamento dei dati che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
  3. Quando le attività principali dell’organizzazione consistono in trattamenti su larga scala di categorie speciali di dati e/o dati relativi a condanna penali e reati.

Anche laddove il GDPR non preveda l’obbligo del DPO, la sua nomina è caldamente consigliata.

QUALI SONO I COMPITI DEL DPO?

Il Responsabile della protezione dei dati è incaricato dei seguenti compiti:

  1. Supportare l’ente.
  2. Controllare che i dati del personale siano protetti; il suo compito è quello di aiutare il Titolare o il Responsabile del trattamento a risolvere un problema e a trovare la maniera corretta di fare un trattamento.
  3. Fornire consulenza sulle modalità con cui un Titolare può effettuare un trattamento nel rispetto del GDPR. Quindi il suo compito è prima di tutto quello di informare il titolare del trattamento, gli addetti ed i responsabili esterni su come raccogliere, trattare e conservare i dati personali in modo conforme al GDPR: aiutarli a provare la loro accountability  accountability .
  4. Monitorare la conformità dell’organizzazione al Regolamento ed alle policy e procedure interne in materia di protezione dei dati. Questo compito include anche il monitoraggio dell’assegnazione delle responsabilità e della formazione del personale coinvolto nelle operazioni di trattamento dei dati.
  5. Informare, mettere a disposizione del Titolare e del Responsabile le proprie conoscenze nell’ambito del GDPR per accompagnarlo ad una corretta interpretazione della norma. In questa attività di sensibilizzazione e informazione, il DPO ha anche il compito di aiutare il titolare a redigere il registro delle attività di trattamento.
  6. Fungere da punto di contatto per l’autorità di controllo per tutte le questioni inerenti alla protezione dei dati, come la segnalazione di violazioni di quest’ultimi.