DPO

Con l’entrata in vigore del Regolamento Europeo sul trattamento dei dati personali numero 679 del 2016, brevemente indicato come GDPR da General Data Protection Regulation (che è possibile trovare indicato anche con altre sigle come RGDP o RGPD), sono sorti in capo alle aziende, alle autorità pubbliche e agli organismi pubblici alcuni adempimenti sia formali che sostanziali.

Rispetto alla precedente normativa conosciuta come Codice Privacy basato sulla legge 196 del 2003, il Regolamento ha modificato molti aspetti fondamentali creando di fatto delle nuove funzioni o meglio specificando quelle in essere.

Una delle novità è quella del Responsabile della protezione dei dati (DPO dall’inglese Data Protection Officer). Questa figura non è obbligatoria se non in alcuni casi.

Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura che in Europa ha assunto anche la denominazione di data protection officer (DPO), o Responsabile della Protezione dei Dati (RPD), come reso nella versione italiana del Regolamento UE 2016/679.

Questa figura, che non può in alcun modo essere un Titolare del trattamento o chiunque possa decidere quali trattamenti effettuare e con quali modalità, ha i seguenti compiti principali:

  1. la raccolta di informazioni per individuare i trattamenti svolti;
  2. l’analisi e la verifica dei trattamenti in termini di loro conformità;
  3. l’attività di informazione, consulenza e indirizzo nei confronti di titolare e responsabile/i;
  4. la consulenza al titolare del trattamento rispetto all’opportunità e al modo di svolgere la valutazione d’impatto, ovvero i rischi connessi al trattamento;
  5. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento;
  6. sorvegliare l’osservanza del Regolamento, alle politiche del Titolare del trattamento in materia di protezione dei dati personali;
  7. l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
  8. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  9. cooperare con l’autorità di controllo;
  10. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.

Per assolvere a queste funzioni il DPO deve programmare sessioni di consulenza e informazioni interne.
Il DPO svolge anche l’importantissima funzione di contatto con il Garante della privacy e con i terzi interessati al trattamento; infatti, deve rendicontare l’attività svolta e deve assicurare tempi di risposta brevi e predeterminati agli interessati, alla richiesta di pareri sull’osservanza del Regolamento e alla richiesta di pareri relativi alla valutazione di impatto privacy.

Il DPO non può operare in conflitto d’interesse inteso, per il GDPR, come capacità di determinare finalità e mezzi del trattamento dovendo il DPO anche vigilare sull’osservanza al Regolamento.

Quali caratteristiche principali deve avere il DPO?

Secondo diverse interpretazioni, una commistione delle due seguenti più una:

  • dovrebbe essere un soggetto specializzato in materia di privacy, meglio se certificato;
  • dovrebbe avere conoscenze approfondite in merito alla sicurezza informatica o al risk management;
  • deve essere persona di fiducia del Titolare del trattamento.