Il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) è la nuova figura introdotta dal Regolamento Europeo 2016/679 per coadiuvare il Titolare, nella gestione dei trattamenti dati personali, in una posizione di autonomia e imparzialità.
Data Protection Officer (DPO): una definizione
Un DPO esterno o interno è un esperto professionista con una formazione trasversale. Il bagaglio culturale del Data Protection Officer deve spaziare dalla conoscenza approfondita della normativa e della prassi in materia di data protection e tutela della privacy al risk management, dalle competenze giuridiche e informatiche sino alla conoscenza delle normative specifiche del settore in cui opera l’organizzazione.
Anche le funzioni concrete del DPO sono estremamente diversificate: questa figura professionale svolge compiti di sorveglianza e monitoraggio, informazione e cooperazione con il Titolare/Responsabile del trattamento. Centrale nel garantire piena efficacia al principio di accountability, il DPO funge altresì da punto di contatto con il Garante per la protezione dei dati personali.
Quali sono i compiti del DPO?
Il principale compito di un DPO esterno o interno è la verifica della compliance aziendale rispetto alle prescrizioni del GDPR. La consulenza del DPO è necessaria ogniqualvolta il Titolare/Responsabile del trattamento o chi per essi (ovvero le figure operative che rappresentano le funzioni aziendali di vendite, marketing, IT, amministrazione, gestione del personale e busta paga) abbiano a che fare con procedure di trattamento dati personali per lo svolgimento dello scopo sociale dell’azienda. Nello specifico:
- Il DPO informa, sorveglia e coopera con il Titolare/Responsabile del trattamento, fungendo da punto di contatto con il Garante per la protezione dei dati personali.
- Il DPO non si occupa concretamente di produrre la documentazione o elaborare le procedure di adeguamento GDPR. Piuttosto, il suo compito è fornire una consulenza mirata al Titolare: l’onere di porre in essere trattamenti dei dati personali conformi al GDPR spetta a quest’ultimo, che è tenuto ad agire nel pieno rispetto degli obblighi imposti e con l’obiettivo di minimizzare i rischi insiti nell’attività di trattamento dei dati
È obbligatorio nominare un DPO?
La nomina del DPO esterno o interno è obbligatoria in alcuni casi, ovvero:
- se il trattamento dei dati personali è svolto da un’autorità o un ente pubblico;
- per i soggetti la cui attività principale consiste nel trattamento sistematico dei dati personali o nel monitoraggio su larga scala dei dati, con particolare riferimento a particolari categorie (ad es. dati sanitari e giudiziari).
In generale, però, la nomina del DPO è consigliata in tutti i casi in cui nell’esercizio delle attività di trattamento dati personali, siano ravvisabili rischi concreti per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio di accountability).
DPO: esterno o interno?
La nomina del Data Protection Officer può essere effettuata scegliendo un soggetto interno all’azienda oppure affidandosi a un professionista esterno in possesso dei requisiti necessari allo svolgimento del ruolo.
In virtù della complessità del ruolo e dell’autonomia che richiede, spesso è preferibile affidarsi a un DPO esterno con comprovata esperienza in materia di data protection. Infatti non è facile individuare nel management aziendale una figura sufficientemente competente e indipendente.
In stretta cooperazione con il Titolare/Responsabile del trattamento, il DPO funge da punto di contatto con il Garante per la protezione dei dati personali nello svolgimento dei suoi compiti di informazione e sorveglianza.