Il Data Protection Officer (DPO) è una figura che è stata introdotta dal GDPR. Ma quali caratteristiche / skills deve avere? Che compiti ha? Quando e perché è utile nominare il DPO? 

Data Protection Officer (DPO): definizione e funzioni

In italiano è traducibile con Responsabile della Protezione dei dati ed è una figura nuova introdotta dal GDPR. La sua principale mansione è quella di supportare il titolare, ma anche il responsabile del trattamento, nel rispetto del GDPR. In particolare deve assicurarsi che i dati siano conservati in conformità alle previsioni del Regolamento e che siano tenuti al sicuro, gestendo i rischi e imponendo misure di sicurezza conformi alle previsioni del GDPR.

L'Art. 39 del GDPR ne specifica le funzioni: 

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento […];
b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento […];
d) cooperare con l'autorità di controllo;
e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento […]

Ne emerge una figura sia tecnica che legale: insomma il DPO deve essere un consulente esperto in più campi.

Il DPO deve possedere competenze giuridiche approfondite

Se nell'art. 39 del GDPR troviamo una definizione di massima, vi sono stati ulteriori chiarimenti rispetto alla figura del DPO. A partire da una specifica del Garante per la protezione dei dati italiano, che ha ribadito come il DPO debba avere approfondita conoscenza della normativa e della prassi in fatto di privacy. Non solo: il Garante ha anche ribadito che il DPO deve avere approfondita conoscenza con le norme e le procedure relative al settore di riferimento. Ecco perché, per la nomina a DPO, sono da privilegiare quei soggetti che dimostrino conoscenze approfondite in più campi che lo rendano adeguato a svolgere un compito complesso. Master ed esperienze di studio specifiche sono esperienze aggiuntive utili.

Autonomia, indipendenza e conflitto d'interesse 

La normativa specifica anche che il ruolo del DPO non è tutelare gli interessi del titolare del trattamento. Al contrario il DPO deve tutelare i dati personali, quindi i diritti degli interessati. Ne discende la necessità che il DPO possa svolgere la propria mansione in piena autonomia e indipendenza e in assenza di conflitto d'interesse. Ciò rende impossibile, per chi si trova ai vertici di un'azienda o di un ente, ricoprire il ruolo di DPO. La sanzione subita dal Comuine di Villabate per aver nominato DPO il responsabile degli Affari Generali deriva proprio dalla necessità che il DPO non abbia conflitti d'interesse con il responsabile del trattamento.

Per approfondire > Nominano DPO il responsabile Affari Generali: il Garante Privacy sanziona il comune di Villabate

Il Garante sloveno è stato ancora più specifico e, rispetto al settore privato, ha specificato che figure come: 

• l'amministratore delegato;
• il direttore operativo;
• il direttore finanziario;
• il responsabile del marketing;
• il responsabile delle risorse umane;
• il responsabile IT;
• altri ruoli subordinati nell'organizzazione aziendale

siano incompatibili con la nomina a DPO. 

L'art. 38 GDPR invece specifica che il DPO non deve riceve alcuna istruzione da parte del titolare o del responsabile del trattamento, come modalità essenziali per garantirne l'autonomia di azione. Ciò non esime però titolare e responsabile del trattamento dal mettere a disposizione del DPO le risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in indipendenza, dei propri compiti.

DPO esternalizzato?

La normativa consente di nominare Data Protection Officer uno dei dipendenti dell'azienda, ma non v'è un obbligo che il DPO si interno. Il servizio di protezione dati è esternalizzabile, nominando tramite contratto, un fornitore esterno del servizio. Tale fornitore può essere sia un libero professionista che un'azienda. Nel caso in cui il responsabile della protezione dei dati sia nominato esternamente all'azienda, diviene necessario nominare anche il responsabile del trattamento.

Obblighi del titolare 

Il titolare del trattamento ha numerosi obblighi, imposti dalla normativa, rispetto al DPO. Uno già lo abbiamo indicato sopra: il titolare del trattamento deve fornire risorse tecniche, umane e finanziarie necessarie per lo svolgimento, in indipendenza, dei propri compiti. Non finisce qui, però. Il titolare deve: 

• supportare il DPO nell'esecuzione dei propri compiti;
• consentire l'accesso ai dati e alle operazioni di trattamento degli stessi;
• assicurare l'accesso del DPO ai vertici aziendali;
• non fornire istruzioni al DPO;
• non penalizzare / licenziare il DPO se ha eseguito correttamente i suoi compiti a tutela dei dati, qualora dovessero andare in contrasto con gli interessi dell'azienda.

La nomina del DPO è obbligatoria in solo 3 casi

Quando nominare il DPO? 

• per le amministrazioni e gli enti pubblici. Il GDPR parla di obbligo per l' autorità pubblica, definizione poco chiara ma rivista dal Gruppo Articolo 29. Questo ha specificato che che la nomina del DPO è importante per gli organismi privati incaricati di svolgere funzioni pubbliche o comunque di esercitare pubblici poteri (ad esempio trasporti e forniture elettriche). Il Garante italiano ha allungato la lista specificando che devono nominare un DPO anche gli organismi amministrativi, le autorità locali e regionali, le Camere di Commercio, le autorità indipendenti di supervisione ecc…
• in tutti quei casi in cui l'attività principale del titolare e del responsabile sia il trattamento di dati che per la loro natura, finalità o oggetto, richiedono controllo regolare e sistematico di interessati su larga scala. Insomma, tutto origina dal legame che intercorre tra l'attività di trattamento dei dati e il core business dell'azienda. Il gruppo articolo 29 parla apertamente della necessita da parte degli ospedali, ad esempio, di nominare il DPO. Certo che il fine ultimo di un ospedale è curare i pazienti, ma per farlo il trattamento di dati personali è imprescindibile. Per trattamento su larga scala, il gruppo art. 29 invita a considerare:
  • il numero di interessati coinvolti;
  • la quantità e la tipologia di dati trattati;
  • la durata del trattamento;
  • la portata geografica del trattamento. 

• se l'attività principale consiste nel trattamento su larga scala di dati sensibili. Per dati sensibili si intendono tutti quelli relativi alla salute, all'orientamento sessuale e alla situazione giuridica di un individuo, ma anche i dati biometrici e quelli genetici. Configurano trattamento anche tutte le forme di monitoraggio e profilazione in Internet.

In apparenza, si potrebbe dire quindi che il Data Protection Officer sia una figura che riguardi solo le grandi aziende, ma nell'era digitale non è così. Vi sono infatti piccole aziende che trattano i dati di centinaia o migliaia di persone. Si pensi ad un call center, ma anche a chi utilizza un impianto di videosorveglianza.

Ricordiamo che non nominare il DPO quando è obbligo comporta una sanzione amministrativa fino a 10 milioni di euro o al 2% del fatturato annuo.