Tra le novità introdotte dal Regolamento (UE) 2016/679 deve menzionarsi, prima fra tutte, l’introduzione del Data Protection Officer (meglio conosciuto con l’acronimo DPO) nonostante tale figura professionale fosse già presente in alcune legislazioni europee.
A titolo esemplificativo, nella normativa anglosassone, tale ruolo è individuato con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Off.
E’ possibile paragonare il Data Protection Officer alla stregua di una sorta di “longa manus” dell’Autorità garante, fungendo in tal senso da “ponte di contatto” con l’Autorità stessa.
Una volta designato, il precipuo compito cui deve adempiere il DPO è quello di vigilare sulla protezione dei dati personali all’interno dell’azienda o dell’organizzazione di riferimento, al fine di verificare la corretta applicazione della normativa europea e nazionale in materia privacy.
Oltre ai generali compiti di vigilanza, il DPO deve anche organizzare i processi di trattamento dell’ente in cui è stato designato, nonché controllare la correttezza degli adempimenti normativi posti in essere dal Titolare del Trattamento (a partire dalla tenuta del registro del trattamento, nomina dei responsabili esterni e interni del trattamento, etc).
Da un punto di vista pratico, a seguito della sua designazione da parte del Titolare (o del Responsabile del trattamento) i suoi riferimenti di contatto devono essere inseriti all’interno dell’informativa ex art 13 GDPR, al fine di consentire ai soggetti interessati di poterlo contattare per ottenere informazioni circa il trattamento dei loro dati personali nonché chiedere delucidazioni circa l’effettivo esercizio dei loro diritti derivanti dal Regolamento.
QUANDO NOMINARE IL DPO?
La nuova normativa europea ha previsto specifici casi in cui è obbligatorio per il Titolare del trattamento designare un responsabile della protezione dei dati.
L’art. 37 del Regolamento prevede tale adempimento qualora il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
Sul punto di sottolinea come il WP29 abbia dato un’interpretazione particolarmente estensiva di organismo pubblico, raccomandando, di nominare il DPO anche da parte delle organizzazioni private che svolgono funzioni pubbliche o che esercitano pubblici poteri.
Altro caso di nomina obbligatoria si riscontra per quelle attività che comportano trattamenti di dati personali che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
In ultimo, il Regolamento UE impone la nomina del DPO qualora si ponga in essere da parte del Titolare un trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.
Opportuno, quindi, definire meglio il concetto di “larga scala”, da valutarsi secondo una pluralità di indici, quali, ad esempio, il numero di interessati coinvolti nel trattamento, la durata del trattamento e la sua estensione geografica. Ad esempio, si inquadra tra i trattamenti effettuati su larga scala la geo-localizzazione, per finalità statistiche.
CHI PUO’ SVOLGERE IL RUOLO DI DPO?
Sebbene l’art. 37 GDPR non elenchi le qualità professionali specifiche che un DPO debba possedere per essere a tal uopo nominato, il ruolo di DPO deve essere svolto da un professionista che possa vantare un’importante competenza in tema di applicazione della normativa sulla protezione di dati personali
Il DPO è, infatti, scelto in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.
Tale figura, di alto livello professionale, può essere scelto sia all’interno dell’azienda, ricadendo tale nomina su un dipendente del titolare del trattamento (o del Responsabile del trattamento) oppure è possibile individuare un libero professionista esterno dell’Ente, con necessità di formalizzare l’incarico mediante la sottoscrizione di un vero e proprio contratto.
Il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali in concreto svolto sia dal titolare del trattamento sia dal responsabile del trattamento.
Quest’ultimi, inoltre, ai sensi dell’art. 38 GDPR, devono svolgere a loro svolto determinati controlli sul soggetto designato come DPO e nello specifico:
- assicurarsi che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, né che riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.
- sostenere il DPO nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Come già sottolineato, altra funzione importante in capo al DPO è quella di fungere da punto di contatto per i soggetti interessati al trattamento, i quali, infatti possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.
Non è precluso però al DPO svolgere anche altri compiti, purchè tali ulteriori funzioni non generino un conflitto di interessi all’interno della compagine in cui il DPO opera, proprio in virtù della funzione di “super partes” rispetto al Garante.
Il requisito dell’assenza del conflitto di interessi, da valutarsi caso per caso, si correla alla necessità di agire in modo indipendente; ed invero, è assolutamente vietato per il DPO, all’interno dell’organizzazione in cui è stato designato, determinare le finalità e gli strumenti del trattamento dei dati personali.
I COMPITI DEL DPO PREVISTI DAL REGOLAMENTO UE
Ai sensi dell’art 39 GDPR, molteplici sono compiti che il DPO è chiamato a svolgere, tra cui, nello specifico:
- informare e fornire consulenza al titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento 679/2016;
- sorvegliare l’osservanza del Regolamento stesso nonché della normativa nazionale propria di ciascun Stato membro sulla protezione dei dati, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Il DPO deve, inoltre, fornire – se richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati (cd. DPIA) e sorvegliarne lo svolgimento secondo quanto disposto dall’ 35 GDPR. Spetta al DPO, infatti, tenere conto anche dei rischi inerenti al trattamento, in virtù della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Compete, infine, al DPO cooperare, in generale, con l’autorità di controllo e non da ultimo fungere da punto di contatto con quest’ultima in caso si renda necessaria procedere mediante la consultazione preventiva di cui all’articolo 36 GDPR.