Chi è il DPO, quali sono i suoi compiti e quando sussiste l’obbligo di nomina? In questo articolo proveremo a dare risposta a tutti gli interrogativi sulla figura del cosiddetto DPO, ovvero il Data Protection Officer.
Il DPO è una delle figure centrali nel sistema disegnato dal Regolamento UE 679/2016 (GDPR) ed è stata introdotta dall’art. 37 del suddetto Regolamento, la cui nomina è obbligatoria al ricorrere di determinate condizioni.
A quasi cinque anni dall’entrata in vigore del GDPR, alcuni hanno dubbi circa la necessità di nominare il DPO o il modo per identificare il soggetto cui affidare tale ruolo.
Proviamo insieme a capirne di più e, se non dovesse essere ancora chiaro, potete contattarci compilando il form con la vostra richiesta.
Indice dei contenuti
Qual è la differenza fra DPO e RDP?
Si tratta della stessa figura, con le differenti abbreviazioni dei termini Data Protection Officer (DPO), o, nella versione in italiano del GDPR, Responsabile della Protezione dei dati personali (RPD-RDP).
Di cosa si occupa il DPO?
Il GDPR assegna al DPO dei compiti che possono essere ricondotti a tre “assi” di attività:
- Attività di sorveglianza: il DPO vigila sulla corretta applicazione delle norme vigenti e, quindi, sulla presenza di adeguate misure di tipo tecnico, organizzativo e documentale (per approfondire, rimandiamo al nostro articolo su Analisi dei rischi e DPIA). In una logica di accountability, il DPO a seguito dell’emergere di criticità e/o in una logica di miglioramento continuo indica eventuali correttivi o ulteriori misure da attuare;
- Attività di supporto: il DPO fornisce pareri e consulenze su specifiche questioni sottoposte dal Titolare del Trattamento;
- Attività informative e formative: il DPO promuove e coordina le iniziative volte ad innalzare il livello di consapevolezza di tutti i soggetti che trattano dati personali.
A tali attività si affianca l’eventuale raccordo con le autorità di controllo ed in particolare il Garante per la protezione dei dati personali.
Da chi è nominato il DPO?
Il DPO viene nominato dal Titolare del Trattamento (TdT) e dal Responsabile del Trattamento (RdT). Quindi, dove sussistano le condizioni descritte nel paragrafo successivo, si è tenuti a nominare il DPO sia quando trattiamo dati acquisiti in qualità di titolare del trattamento, sia quando i dati personali ci vengono affidati in qualità di responsabile del trattamento.
Proprio in questo secondo caso, come sottolineato nelle Linee Guide del WP29 e dello EDPB, questa nomina assume maggiore importanza in quanto il DPO deve vigilare sulla segregazione dei dati personali affidati da più titolari del trattamento; si pensi ad esempio a una società specializzata in medicina del lavoro che tratta i dati personali di lavoratori provenienti da più aziende, o a un fornitore di servizi informatici che assiste più aziende.
A chi deve essere comunicata la sua nomina?
La nomina del DPO deve essere comunicata, da parte del TdT o del RdT, al Garante per la protezione dei dati personali, tramite una procedura informatica che il Garante stesso ha reso disponibile a questo indirizzo.
Per quali aziende o enti è obbligatorio il DPO?
Il DPO è nominato:
- Sempre, se il Titolare del Trattamento è un’autorità pubblica o un organismo pubblico; in sostanza, se è un ente pubblico o parapubblico (es. società a controllo pubblico);
- In caso di soggetti privati, al ricorrere di determinate condizioni quali:
- presenza di trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- presenza di trattamenti su larga scala di dati particolari (es. salute) o di dati relativi a condanne penali o a reati.
Il Garante Privacy italiano, come molti analoghi europei, ritiene che, anche dove non obbligatoria, la nomina del DPO sia sempre “opportuna”, e in occasione dei controlli il Titolare del Trattamento ha necessità di dimostrare che ha valutato se nominare il DPO e perché ha deciso di non nominarlo.
Sempre il Garante Privacy, inoltre, ha avuto modo di fornire esempi di casi in cui la nomina del DPO è obbligatoria, come per le strutture sanitarie, per chi effettua profilazione e tracciamento (anche tramite APP o siti internet), per i fornitori di servizi informatici.
Il DPO può essere il titolare, un dipendente o il Titolare del Trattamento dei Dati?
Innanzitutto, è necessario chiarire che il GDPR non elenca degli specifici requisiti, né esiste un “albo” dei DPO.
Tuttavia, l’Art. 37 del GDPR prevede che il DPO sia “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” assegnati dal GDPR stesso.
Se guardiamo a stati dell’UE in cui la figura del DPO è stata introdotta in epoca precedente all’approvazione del GDPR, ritroviamo come requisiti comunemente accettati il numero di anni di esperienza e le competenze specialistiche intese sia come percorso di studi che come concreta attività di supporto ai TdT/RdT.
Il GDPR non esclude che il ruolo di DPO possa essere affidato a soggetti interni alla struttura del TdT/RdT. È fondamentale, tuttavia, che non sussista conflitto di interessi tra il ruolo di DPO e i compiti e le funzioni “ordinarie” affidate. Tale condizione rende difficoltosa l’identificazione di un DPO interno, tranne che nei casi in cui la dimensione del TdT/RdT renda possibile l’assegnazione in via esclusiva del ruolo di DPO.
Inoltre, si può presentare complesso impostare un percorso per l’acquisizione o il consolidamento di competenze e titoli necessari per lo svolgimento del ruolo. Pertanto, nella quasi totalità dei casi si propende per un affidamento all’esterno.
Tale affidamento può avvenire sia nei confronti di una singola persona fisica (un professionista), che nei confronti di una persona giuridica (una società). La soluzione prescelta può essere legata alla necessità o meno di mettere in campo un gruppo di lavoro ampio o di disintermediare il rapporto tra DPO e soggetti “vigilati”. Come Gruppo Neostudio ci muoviamo con entrambe le modalità a seconda delle specifiche esigenze del TdT/RdT.
Qualunque sia la scelta, il GDPR prevede la comunicazione obbligatoria dei dati del DPO al Garante Privacy. Al riguardo, è utile segnalare una peculiarità: nella comunicazione al Garante Privacy, in caso di nomina di una persona giuridica, è necessario inserire i dati del DPO (che resta sempre e solo la Società) e di un mero “referente” interno del DPO per eventuali comunicazioni. In questo caso, è solo la Società a poter essere identificata come DPO, a nulla rilevando la nomina del “referente” rispetto all’assunzione del ruolo.
DPO e conflitto di interessi: quali sono i rischi e i limiti?
È fondamentale che non sussista conflitto di interessi tra il ruolo di DPO e i compiti e le funzioni “ordinarie” affidate ad un determinato soggetto. Pertanto, o la dimensione del TdT/RdT rende possibile l’assegnazione in via esclusiva del ruolo di DPO, o si tende ad affidare tale ruolo ad un soggetto esterno.
È di immediata evidenza come tali soluzioni siano le uniche percorribili per evitare sovrapposizioni tra controllore e controllato: pensiamo all’inevitabile conflitto di interesse con i ruoli in ambito progettazione e sviluppo (finalità e modalità del trattamento), ICT (misure di sicurezza informatiche), commerciale e marketing (utilizzo dei dati personali per tali finalità), personale e organizzazione (misure di sicurezza organizzative) o nel caso di redazione della DPIA (che va firmata dal titolare su cui può essere svolta attività di consulenza da soggetto diverso) per la quale il DPO deve esprimere un parere, di conseguenza non in conflitto di interessi.