Data Protection Officer (DPO): cosa fa e in quali casi è obbligatorio?

Quali sono il ruolo e il profilo del DPO e come deve essere inquadrato secondo la normativa in materia di privacy.

Il Data Protection Officer (spesso abbreviato con l’acronimo DPO) è una figura introdotta dal GDPR (Regolamento generale sulla protezione dei dati 2016/679), in particolare dall’articolo 37 del regolamento UE 2016/679.

Il DPO è il responsabile per la protezione dei dati personali che l’azienda raccoglie, gestisce e tratta nell’ambito dell’attività di impresa.

Secondo le intenzioni dei legislatori europei, il Data Protection Officer dovrebbe essere un consulente di alto livello dotato di poteri esecutivi, in grado di analizzare le modalità di contatto con dati personali da parte dell’azienda e le procedure di raccolta e stoccaggio dei medesimi.

Il DPO dovrebbe essere in grado di consigliare e indirizzare l’operato del Titolare del Trattamento avendo come obiettivo principale la garanzia degli standard imposti dalla normativa e di fungere da interfaccia con le Autorità di controllo.

Obbligo di nomina di un DPO

Il GDPR prevede l’obbligo di nomina di un DPOin tre ipotesi:

  1. quando “il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”;
  2. quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
  3. quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (i cosiddetti dati sensibili da cui si può desumere “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche” di una persona, o la sua appartenenza sindacale. Così come i dati genetici e/o biometrici intesi a identificare in modo univoco una persona fisica, nonché quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

In tutti questi casi l’articolo 37 lettera a) del GDPR prevede l’obbligo di nomina di un DPO.

La figura del DPO

Il garante della privacy, successivamente all’emanazione del GDPR, è intervenuto per fornire alcune indicazioni sulle caratteristiche che deve possedere il soggetto incaricato quale DPO.

Il DPO è un professionista dotato di approfondite competenze normative con particolare focus in materia di protezione di dati personali, informatiche e possibilmente di cyber security, di risk management e di analisi dei processi. Può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure può essere un soggetto esterno all’azienda, incaricato con un contratto di servizi.

Non è richiesta l’iscrizione ad appositi Albi, ma sia le pubbliche amministrazioni che i soggetti privati dovranno selezionare il responsabile della protezione dei dati personali verificando la presenza delle competenze sopra elencate. Nella scelta, saranno da privilegiare i soggetti che possano dimostrare e documentare qualità professionali ed esperienze adeguate alla complessità del compito che sono chiamati a svolgere.  

Come anticipato,il DPO può essere scelto tra il personale interno all’ente oppure essere un soggetto terzo incaricato con un contratto di servizi.

Nel caso in cui l’ente opti per la prima soluzione, occorrerà prestare particolare attenzione e tenere conto del principio dell’imparzialità, che contraddistingue la figura del DPO.

Un dipendente, infatti, rivestendo anche altri incarichi all’interno dell’azienda, potrebbe risultare in conflitto di interessi per il ruolo che occupa.

Il DPO dovrebbe essere, al contrario, una figura indipendente e al di sopra delle parti. La scelta che assicura il maggior grado di conformità alle prescrizioni del GDPR è quella di nominare un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali e che funga da supervisore. Meglio sarebbe, quindi, optare per un professionista esterno che svolge questa attività in maniera esclusiva anche per più enti, eventualmente coadiuvato da uno o più soggetti interni all’organizzazione dell’ente in grado di rappresentare le modalità e le finalità del trattamento effettuato dall’ente.

I compiti del Data Protection Officer

L’articolo 39 del GDPR elenca i principali compiti del Data Protection Officier:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da interfaccia dell’ente per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Può non essere banale comprendere se si è nelle condizioni di dover obbligatoriamente nominare un Data Protection Officier così come non è banale individuare il professionista in possesso delle giuste competenze tecnico-giuridiche.

Chiamaci per fissare un appuntamento  e valuteremo insieme la necessità di nominare un Data Protection Officer; in caso affermativo, il nostro team è formato anche di consulenti con competenze certificate Data Protection Officer ACS ITALIA per lo schema SCH01 norma Uni 11697:2017 (Accredia) e UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012.