Il Data Protection Officer (DPO)

Molto spesso, quando parliamo di privacy, sentiamo nominare la figura del DPO. Altrettanto spesso ci rendiamo conto però che tantissime persone non sanno davvero cosa sia questa figura, ne quali siano le sue funzioni o che, a determinate condizioni, è addirittura obbligatorio nominare in azienda questa figura.

Nel presente articolo spiegheremo meglio la figura del DPO (Data Protection Officer), il suo ruolo in azienda e quando questo può (o deve) essere nominato e da chi.

Chi è il DPO (Data Protection Officer)

Questa figura, anche se di fatto già presente in alcune legislazioni europee, è stata introdotta con il GDPR (ovvero con il Regolamento generale sulla protezione dei dati n.2016/679). Il Data Protection Officer è un professionista che ha competenze trasversali (per lo più giuridiche, informatiche) e che svolge un ruolo fondamentale in azienda; possiamo quindi dire che è un consulente esperto che va ad affiancare il titolare del trattamento nella gestione del trattamento dei dati personali.

Il Garante italiano ha precisato sul punto che, sebbene non esista alcun albo professionale, è necessario che il DPO abbia un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

E’ quindi opportuno privilegiare soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere, casomai con esperienze di master o corsi di studio. La responsabilità principale del DPO infatti è quella di essere in gradi osservare, valutare e di conseguenza organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell’azienda per la quale svolge la propria mansione, affinché questi siano trattati nel rispetto dell’attuale normativa privacy.

I requisiti di autonomia ed indipendenza del DPO

Il DPO, come abbiamo già avuto modo di dire, deve sicuramente possedere un'adeguata conoscenza delle normative relative alla gestione dei dati personali. Oltre a ciò deve poi adempiere alle proprie funzioni in piena autonomia ed indipendenza, e in assenza di conflitti di interesse (non potrà quindi, per esempio, ricoprire tale incarico un soggetto che si trova ai vertici aziendali poiché questo potrebbe influenzare le scelte adottate in materia di trattamento dei dati).

A garanzia dell'autonomia del DPO, l'articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si devono assicurare che il DPO non riceva alcuna istruzione per quanto riguarda l'esecuzione dei propri compiti. Per questo il ruolo di DPO viene esternalizzato (ad un professionista o ad un’impresa); sarebbe difficile infatti immaginare che un dipendente di azienda possa svolgere questo ruolo senza avere accesso ai dati personali degli altri colleghi.

Quando è necessario nominare il DPO e chi deve nominarlo

Il GDPR stabilisce che questa figura debba esse...