Il Data Protection Officer o Responsabile della Protezione dei Dati, abbreviato come DPO, è un consulente esperto che affianca il titolare nella gestione delle problematiche del trattamento dei dati personali. In tal modo si garantisce che un soggetto qualificato si occupi della materia, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore. È stato introdotto dal GDPR e sostanzialmente è un consulente tecnico e legale, con potere esecutivo. Ha un ruolo doppio: oltre a consigliare e sorvegliare, funge da tramite fra l’organizzazione e l’Autorità. Come riportato nel Regolamento i suoi compiti sono informare, sorvegliare, cooperare. Il nome del DPO va inserito nel sito web dell’azienda, con i relativi contatti, ed anche nell’informativa.
Il TAR del Friuli-Venezia Giulia, con la sentenza n. 287/2018 del 13 settembre 2018, ha precisato che il profilo del DPO è eminentemente giuridico, ed attiene alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali.
Il Garante italiano ha precisato che non esiste alcun obbligo di nominare quale DPO un soggetto che abbia attestati o partecipazioni a corsi di formazione, né esiste alcun albo professionale. Necessita invece l’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Per garantire l’autonomia del DPO, l’articolo 38 del GDPR stabilisce che il titolare del trattamento e il responsabile del trattamento si assicurino che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei suoi compiti. Inoltre, il DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti. Sarebbe preferibile scegliere come DPO un soggetto esterno, al quale mettere a disposizione risorse umane e finanziarie.
Il ruolo del DPO può dunque essere esternalizzato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento, in modo che abbia accesso ai dati personali. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.
La nomina di un DPO è obbligatoria in tre casi: per le amministrazioni e gli enti pubblici; quando l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala; e infine se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici.
Il DPO è designato in virtù delle qualità professionali, cioè della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, deve dunque conoscere l’ente per il quale sta lavorando ed avere una conoscenza specialistica in materia di protezione dei dati personali. Il titolare ha diversi obblighi verso la figura del DPO. Lo deve supportare fornendogli le risorse necessarie all’esecuzione dei suoi compiti, consentendogli l’accesso ai dati e alle operazioni di trattamento. Inoltre deve consentire l’accesso del DPO ai massimi livelli manageriali dell’azienda e non deve fornirgli alcuna istruzione sui suoi compiti.
Ora veniamo ai compiti che deve svolgere: il DPO deve prima di tutto di informare il titolare del trattamento, gli addetti ed i responsabili esterni su come raccogliere, trattare e conservare i dati personali in modo conforme al GDPR. In questa attività di sensibilizzazione e informazione, il DPO ha anche il compito di aiutare il titolare a redigere il registro delle attività di trattamento, cioè il documento in cui vanno riportati tutti i trattamenti fatti dall’organizzazione.
Secondo compito del Responsabile della Protezione Dati è la sorveglianza, che viene praticata mettendo in atto attività di controllo sui responsabili e sugli addetti durante i processi. Li affianca nei processi e se trova qualcosa che non va deve segnalarlo. Per svolgere questo compito, il DPO si serve del rapporto di sorveglianza, un documento obbligatorio per legge, da compilare almeno una volta all’anno, che elenca le misure adottate per proteggere i dati, indica se sono conformi e le azioni consigliate per rispettare le norme del GDPR. Se il titolare lo richiede, il DPO può dare anche un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento. La DPIA (Data Privacy Impact Assessment) è una valutazione obbligatoria quando un trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone interessate, per esempio se l’azienda ha un sistema di videosorveglianza. Ospedali, scuole, patronati, sindacati in quanto tali trattano dati sensibili e sono obbligati a fare la DPIA. La responsabilità del DPO ha dei limiti: se il titolare riceve una segnalazione di una possibile violazione non spetta al Data Protection Officer decidere cosa fare.
Infine, il DPO ha un ruolo di cooperazione: funge da contatto tra l’autorità di controllo ed il titolare del trattamento. La sua è una figura indipendente e di garanzia, lavora a stretto contatto con l’Autorità per ogni questione relativa al trattamento dei dati personali. In base all’art. 37 del GDPR il nominativo del DPO designato deve essere comunicato Garante della Privacy per favorire la cooperazione tra i due. L’obbligo scatta nel momento in cui si effettua la nomina.