La designazione di un responsabile della protezione dei dati – RPD o DPO – è prevista e normata agli artt. 37-38-39 e considerando 97 del Regolamento UE 679/2016 e riflette l’approccio responsabilizzante del Regolamento stesso.
Le caratteristiche della figura del DPO sono di indipendenza, autorevolezza e competenza manageriale e ne fanno uno degli elementi chiave all’interno del sistema di governance dei dati. E’ assegnata al Titolare la responsabilità di individuare una figura adeguata.
Oltre a favorire l’osservanza, attraverso strumenti di accountability e controllo, il DPO funge da interfaccia tra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno della struttura del Titolare del Trattamento. Il DPO, ruolo eminentemente giuridico, deve essere individuato rispetto alle qualità professionali – Art.37 par.5 -, in particolare: conoscenza specialistica della normativa e delle prassi oltre a capacità di assolvere i compiti di cui all’Art.39.
L’Art.37 par.7 del GDPR impone al Titolare di pubblicare i dati di contatto del DPO e di comunicare i dati del DPO designato alle autorità di controllo, attraverso il form messo a disposizione sul sito del Garante compilazione-comunicazione (gpdp.it).
DPO: cosa fa?
Ai sensi dell’Art.38 il DPO deve:
- Partecipare alle riunioni del management;
- Essere presente quando si assumono decisioni che hanno un impatto sulla protezione dei dati;
- Ricevere informazioni pertinenti e complete per rendere consulenza idonea;
- Fornire pareri valutati e tenuti in considerazione;
- Essere consultato tempestivamente qualora si verifichi una violazione dei dati;
- E’ tenuto al segreto professionale.
Ai sensi dell’Art.39 il DPO deve:
- Informare e fornire consulenza al Titolare;
- Sorvegliare l’osservanza del GDPR;
- Raccogliere informazioni sui trattamenti svolti;
- Analizzare e verificare i trattamenti in termini di conformità;
- Collaborare con il Titolare per la definizione di una valutazione di impatto e analisi del rischio;
- Cooperare con il Garante – Art.39, par.1, lett.d)-e) -. Quest’ultimo aspetto implica una responsabilità solidale con il Titolare rispetto ad obblighi di segnalazione in caso di violazioni.
La nomina del DPO
La nomina è obbligatoria ai sensi dell’Art.37, par.1 quando:
- Il trattamento è svolto da un organismo pubblico o da un’autorità pubblica;
- Le attività principali, nel ruolo di Titolare o Responsabile, consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- Se le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e reati.