DPO

DPO, chi è il Data Protection Officer, quando deve essere nominato e che funzioni svolge

DPO una figura sempre più richiesta nell’ambito della nuova normativa GDPR, scopriamo insieme perchè è così importante.

Tra le novità introdotte dal Regolamento UE 2016/679 (c.d. General Data Protection Regulation abbreviato GDPR) – ufficialmente operativo per tutti gli Stati Membri dal 25 maggio 2018 – rientra anche la figura del Responsabile della Protezione dei Dati o Data Protection Officer (DPO) secondo la terminologia anglofona. Benché il Garante italiano per la privacy abbia descritto puntualmente tale figura sul proprio sito istituzionale – pubblicando allo scopo anche un’apposita scheda informativa – l’incertezza sui casi in cui il DPO deve essere designato, sui compiti che gli sono attribuiti per legge e sul valore delle certificazioni che lo riguardano è ancora piuttosto diffusa tra le aziende e le pubbliche amministrazioni nostrane.

Appare dunque utile riassumere brevemente ciò che prevede il Regolamento UE con riguardo al ruolo del DPO.

 

NOMINA –  il GDPR stabilisce che tutte le pubbliche amministrazioni ed enti pubblici, ad eccezione delle autorità giudiziarie, hanno l’obbligo di nominare un Responsabile della Protezione dei Dati. Tale obbligo riguarda anche tutti i soggetti privati (enti e imprese) che trattano su larga scala dati sensibili, come quelli relativi alla salute o alla vita sessuale delle persone, genetici, giudiziari e biometrici, come attività inclusa tra le principali oppure che svolgano attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o di soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese che non rientrano tra i destinatari dell’obbligo di cui sopra, invece, possono decidere di dotarsi ugualmente di un DPO. Una volta designato il DPO, il Titolare del trattamento deve comunicare i dati di contatto del Data Protection Officer all’Autorità di Vigilanza attraverso un’apposita procedura online.

 

FUNZIONI – Il Responsabile della Protezione dei Dati ha il compito di informare e consigliare il Titolare o il Responsabile del trattamento dati, nonché i dipendenti dell’azienda o della p.a, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre normative UE o degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne adottate dal Titolare siano correttamente attuate ed applicate, ivi incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale ed i relativi audit.

Su richiesta, deve fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge, inoltre, da mediatore sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l’esercizio dei loro diritti. E’ consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che ciò non comporti un conflitto di interessi e che abbia comunque il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del Regolamento Europeo.

REQUISITI – I Titolari del trattamento devono designare come Data Protection Officer un professionista che possieda una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali e che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente interno oppure come consulente esterno all’impresa o alla pubblica amministrazione. E’ richiesto, inoltre, che il Titolare metta a disposizione del Responsabile della Protezione dei Dati personali le risorse umane e finanziarie necessarie all’adempimento delle sue funzioni.

CERTIFICAZIONI – Attualmente non esistono titoli o attestati formali che abilitino al ruolo di Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali – specialmente quando sono rilasciate da enti indipendenti – costituiscono un valido strumento ai fini della verifica del possesso del livello di conoscenza della normativa richiesto. Come ha però chiarito il Garante Privacy, il conseguimento di tali certificazioni non è obbligatorio