Molto spesso, quando parliamo di privacy, sentiamo nominare la figura del Data Protection Officer (DPO). Altrettanto spesso ci rendiamo conto però che tantissime persone non sanno davvero cosa sia questa figura, ne quali siano le sue funzioni o che, a determinate condizioni, è addirittura obbligatorio nominare in azienda questa figura.
Nel presente articolo spiegheremo meglio la figura del DPO (Data Protection Officer), il suo ruolo in azienda e quando questo può (o deve) essere nominato e da chi.
Chi è il DPO (Data Protection Officer)
Questa figura, anche se di fatto già presente in alcune legislazioni europee, è stata introdotta con il GDPR (ovvero con il Regolamento generale sulla protezione dei dati n. 2016/679). Il Data Protection Officer è un professionista che ha competenze trasversali (per lo più giuridiche, informatiche) e che svolge un ruolo fondamentale in azienda. Possiamo quindi dire che è un consulente esperto che va ad affiancare il titolare del trattamento nella gestione del trattamento dei dati personali.
Il Garante italiano ha precisato sul punto che, sebbene non esista alcun albo professionale, è necessario che il DPO abbia un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
È quindi opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio. La responsabilità principale del DPO infatti è quella di essere in gradi osservare, valutare e di conseguenza organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell’azienda per la quale svolge la propria mansione, affinché questi siano trattati nel rispetto dell’attuale normativa privacy.
I requisiti di autonomia ed indipendenza del DPO
Il DPO, come abbiamo già avuto modo di dire, deve sicuramente possedere un’adeguata conoscenza delle normative relative alla gestione dei dati personali. Oltre a ciò deve poi adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse (non potrà quindi, per esempio, ricoprire tale incarico un soggetto che si trova ai vertici aziendali poiché questo potrebbe influenzare le scelte adottate in materia di trattamento dei dati).
A garanzia dell’autonomia del DPO, l’articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si devono assicurare che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Per questo il ruolo di DPO viene esternalizzato (ad un professionista o ad un’impresa); sarebbe difficile infatti immaginare che un dipendente di azienda possa svolgere questo ruolo senza avere accesso ai dati personali degli altri colleghi.
Quando è necessario nominare il DPO e chi deve nominarlo
Il GDPR stabilisce che questa figura debba essere obbligatoriamente nominata quando:
“…a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In particolare la nozione di monitoraggio regolare e sistematico di cui sopra include qualsiasi forma di tracciatura sia essa organizzata, metodica, prestabilita (es. servizi di telecomunicazione, marketing, geolocalizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, reindirizzamento di email).
Per stabilire invece se un trattamento è su larga scala è necessario tenere in considerazione alcuni elementi:
- Il numero degli interessati coinvolti (in termini assoluti o in percentuale rispetto alla popolazione di riferimento);
- La quantità dei dati trattati;
- Le diverse tipologie di dati trattati;
- La durata del trattamento;
- La portata geografica del trattamento.
In tal senso sono trattamenti su larga scala per esempio quello dei dati di viaggio dei soggetti che usano un sistema di trasporto pubblico, il trattamento dei dati dei clienti di una banca o un’assicurazione o il trattamento dei dati personali ottenuti tramite i cookie di profilazione.
Il DPO deve essere designato dal titolare o dal responsabile del trattamento, in base ad un contratto (ex art. 37) e la sua designazione dovrà essere comunicata all’Autorità di controllo nazionale.
Compiti del DPO
I principali compiti del DPO sono elencati all’art. 39 del Regolamento europeo sulla protezione dei dati personali, laddove afferma che:
“1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.”
