Chi è il DPO: Data Protection Officer

La designazione di un responsabile della protezione dei dati – RPD o DPO – è prevista e normata agli artt. 37-38-39 e considerando 97 del Regolamento UE 679/2016 e riflette l’approccio responsabilizzante del Regolamento stesso.

Le caratteristiche della figura del DPO sono di indipendenza, autorevolezza e competenza manageriale e ne fanno uno degli elementi chiave all’interno del sistema di governance dei dati. E’ assegnata al Titolare la responsabilità di individuare una figura adeguata.

Oltre a favorire l’osservanza, attraverso strumenti di accountability e controllo, il DPO funge da interfaccia tra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno della struttura del Titolare del Trattamento. Il DPO, ruolo eminentemente giuridico, deve essere individuato rispetto alle qualità professionali – Art.37 par.5 -, in particolare: conoscenza specialistica della normativa e delle prassi oltre a capacità di assolvere i compiti di cui all’Art.39.

L’Art.37 par.7 del GDPR impone al Titolare di pubblicare i dati di contatto del DPO e di comunicare i dati del DPO designato alle autorità di controllo, attraverso il form messo a disposizione sul sito del Garante compilazione-comunicazione (gpdp.it).

DPO: cosa fa?

Ai sensi dell’Art.38 il DPO deve:

  • Partecipare alle riunioni del management;
  • Essere presente quando si assumono decisioni che hanno un impatto sulla protezione dei dati;
  • Ricevere informazioni pertinenti e complete per rendere consulenza idonea;
  • Fornire pareri valutati e tenuti in considerazione;
  • Essere consultato tempestivamente qualora si verifichi una violazione dei dati;
  • E’ tenuto al segreto professionale.

Ai sensi dell’Art.39 il DPO deve:

  • Informare e fornire consulenza al Titolare;
  • Sorvegliare l’osservanza del GDPR;
  • Raccogliere informazioni sui trattamenti svolti;
  • Analizzare e verificare i trattamenti in termini di conformità;
  • Collaborare con il Titolare per la definizione di una valutazione di impatto e analisi del rischio;
  • Cooperare con il Garante – Art.39, par.1, lett.d)-e) -. Quest’ultimo aspetto implica una responsabilità solidale con il Titolare rispetto ad obblighi di segnalazione in caso di violazioni.

La nomina del DPO

La nomina è obbligatoria ai sensi dell’Art.37, par.1 quando:

  • Il trattamento è svolto da un organismo pubblico o da un’autorità pubblica;
  • Le attività principali, nel ruolo di Titolare o Responsabile, consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • Se le attività principali del Titolare o del Responsabile consistono nel trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e reati.