La nuova figura professionale del DPO (Data Protection Officer)

Nel contesto aziendale e delle pubbliche amministrazioni si sente parlare, in misura sempre maggiore, di una nuova figura professionale, spesso abbreviata con l’acronimo DPO.
Parliamo del Data Protection Officer o Responsabile per la protezione dei dati, una figura nata a seguito dell’entrata in vigore del Regolamento (UE) n.679 del 2016 (GDPR) che è divenuto pienamente applicabile dal 25 maggio 2018.

Il DPO rappresenta il principale referente per la protezione dei dati personali e la sua nomina interessa tutte le aziende e gli enti che effettuano il trattamento dei dati sia nel settore pubblico che privato.

Cosa c’è di innovativo in questa figura professionale?

La figura del Data Protection Officer rappresenta l’evoluzione del Privacy Officer, previsto dalla Direttiva Europea 95/46.

Tuttavia, questo ruolo si afferma in Europa già a partire dal 1977, anno in cui la legge nazionale tedesca sulla protezione dei dati personali rese obbligatoria, in presenza di determinati requisiti, l’assunzione in ambito aziendale del Responsabile per la protezione dei dati.

Alla fine degli anni ’90 la figura del Privacy Officer si diffonde anche negli Stati Uniti determinando anche agli inizi del Duemila una crescita esponenziale del numero di Privacy Officer assunti da aziende statunitensi ed anche europee.

Al contrario in Italia la figura del Data Protection Officer ha stentato a trovare un’opportuna diffusione, tuttavia, in seguito all’ entrata in vigore del suddetto Regolamento europeo, la sua designazione è diventata obbligatoria.

Quando la nomina del Responsabile della protezione dati è obbligatoria?

Ai sensi dell’art. 37, par. 1, del Regolamento (UE) 2016/679, la nomina di un RPD è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali o reati.

Le Linee guida sui responsabili della protezione dei dati del 5 aprile 2017 forniscono, a titolo esemplificativo, un elenco di soggetti tenuti alla nomina del RPD ed una lista delle eccezioni disponibile cliccando sul seguente link: 

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/8036793#3

Occorre chiarire che per la dicitura “monitoraggio regolare e sistematico” è da intendersi il monitoraggio effettuato periodicamente o in via continuativa come avviene, ad esempio, mediante la profilazione online.

Mentre, per “trattamenti su larga scala” si definiscono le attività che «mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato per le libertà e i diritti degli interessati».

In particolare, sono quattro gli elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su “larga scala”:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; 

• la durata, ovvero la persistenza, dell’attività di trattamento;

• la portata geografica dell’attività di trattamento.

Per approfondire la definizione dei suddetti requisiti si rimanda alla lettura del paragrafo 91 del GDPR il cui testo integrale è disponibile al seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597

A chi spetta la nomina del DPO?

Secondo quanto disposto dall’art. 37, par. 1, del Regolamento europeo, la nomina del RPD è un compito attribuito sia ai titolari che ai responsabili del trattamento, difatti, il Data Protection Officer non sostituisce il titolare e l’incaricato del trattamento, ma si affianca ad essi.

Con riferimento all’atto di nomina, occorre, poi, operare una distinzione a seconda che il ruolo sia affidato ad un soggetto esterno oppure interno dell’azienda/ente:

  • se il DPO scelto è già all’interno dell’ente è necessario formalizzare un atto di designazione come Responsabile per la protezione dei dati;
  • nel caso in cui il DPO sia, invece, un soggetto esterno all’ente, la designazione sarà parte integrante del contratto di servizi redatto secondo quanto previsto dall’art. 37 del Regolamento.

Nell’atto di designazione devono essere individuate espressamente le generalità del soggetto che opererà come RPD e devono essere indicati i compiti e le funzioni assegnate.

Quali sono i suoi requisiti?

Innanzitutto, bisogna sottolineare che il ruolo di RPD può essere ricoperto esclusivamente da una persona fisica, supportata, se necessario, da un team.

Ai sensi dell’art. 37, par. 5, del Regolamento (EU) 2016/679, il titolare del trattamento è tenuto a designare il Responsabile per la Protezione dei dati «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» e della capacità di assolvere i compiti lui attribuiti dall’art. 39 del Regolamento stesso.

In linea generale, dunque, il DPOdeve avere almeno le seguenti competenze:

• conoscenza approfondita delle disposizioni normative in materia di privacy, sul piano sostanziale e applicativo;

• padronanza dei requisiti tecnici per privacy by design, privacy by default e sicurezza dei dati;

• conoscenza specifica del settore merceologico nel quale opera il titolare del trattamento, con riguardo anche alla dimensione organizzativa ed alla tipologia dei dati trattati;

• capacità di eseguire ispezioni, consultazioni, analisi documentali e di file log;

• capacità di lavorare con le rappresentanze dei lavoratori.

Inoltre, come ha chiarito il Garante italiano per la protezione dei dati personali, il DPO deve poter riferirsi direttamente al vertice aziendale ed agire in una condizione di indipendenza (ossia non ricevendo istruzioni per quanto riguarda l’esecuzione dei suoi compiti) ed autonomia (disponendo di risorse umane e finanziarie adeguate).

Quali sono i compiti del DPO?

Ai sensi dell’art. 39 del Regolamento (UE) 2016/679 il RPD ha il compito di:

• informare e consigliare il titolare o il responsabile del trattamento e i dipendenti sugli obblighi previsti dalle norme in materia di protezione dei dati e verificare l’attuazione e l’applicazione delle stesse;

• fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e verificarne gli adempimenti;

• raccolta di informazioni per individuare i trattamenti svolti; 

• analisi e verifica dei trattamenti in termini di loro conformità;

• attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile dei dati.

Il controllo del rispetto del Regolamento sulla protezione dei dati non implica, tuttavia, che il DPO sia personalmente responsabile in caso di inosservanza.

Il rispetto delle norme in materia di protezione dei dati rientra, infatti, nella responsabilità d’impresa del titolare del trattamento.

Articolo a cura della Dott.ssa Camilla Marotta