Data Protection Officer: chi è e quando diventa obbligatorio

Chi è il DPO, quali sono i suoi compiti e quando sussiste l’obbligo di nomina? All’interno dell’articolo verrà data risposta a molti interrogativi sulla figura del data protection officer.

Una delle figure centrali nel sistema disegnato dal Regolamento UE 679/2016 (GDPR) è il Data Protection Officer (DPO), o, nella versione in italiano del GDPR, Responsabile della Protezione dei dati personali (RPD).

Si tratta di una figura introdotta dall’art. 37 del GDPR, la cui nomina è obbligatoria al ricorrere di determinate condizioni.

A più di due anni dall’entrata in vigore del GDPR, alcuni hanno dubbi circa la necessità di nominare il DPO o il modo per identificare il soggetto cui affidare tale ruolo. Vediamo di capirne di più.

Da chi viene nominato il Data Protection Officer?

Il DPO viene nominato dal Titolare del Trattamento (TdT) e dal Responsabile del Trattamento (RdT). Quindi, dove sussistano le condizioni descritte nel paragrafo successivo, si è tenuti a nominare il DPO sia quando trattiamo dati acquisiti in qualità di titolare del trattamento, sia quando i dati personali ci vengono affidati in qualità di responsabile del trattamento.

Proprio in questo secondo caso, come sottolineato nelle Linee Guide del WP29 e dello EDPB, questa nomina assume maggiore importanza in quanto il DPO deve vigilare sulla segregazione dei dati personali affidati da più titolari del trattamento; si pensi ad esempio a una società specializzata in medicina del lavoro che tratta i dati personali di lavoratori provenienti da più aziende.

Quando deve essere nominato il DPO?

Il DPO è nominato:

  • Sempre, se il titolare del trattamento è un’autorità pubblica o un organismo pubblico; in sostanza se è un ente pubblico o parapubblico (es. società a controllo pubblico);
  • In caso di soggetti privati, al ricorrere di determinate condizioni quali:
    • presenza di trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
    • presenza di trattamenti su larga scala di dati particolari (es. salute) o di dati relativi a condanne penali o a reati.

Il Garante Privacy italiano, come molti analoghi europei, ritiene che, anche dove non obbligatoria, la nomina del DPO sia sempre “opportuna”, e in occasione dei controlli il titolare del trattamento ha necessità di dimostrare che ha valutato se nominare il DPO e perché ha deciso di non nominarlo.

Il Garante Privacy, inoltre, ha avuto modo di fornire esempi di casi in cui la nomina del DPO è obbligatoria, come per le strutture sanitarie, per chi effettua profilazione e tracciamento (anche tramite APP o siti internet), per i fornitori di servizi informatici.

Quali sono i suoi compiti?

I compiti del DPO possono essere ricondotti a tre pilastri:

  1. Consulenza e informazione sugli obblighi previsti dal GDPR o da eventuali norme in materia previste dai singoli Stati, compresa la formulazione di pareri e la sorveglianza sulla conduzione della DPIA da parte del TdT/RdT. Si noti che il DPO ha in questo caso un ruolo di “sponda” che non si sostituisce a quello del TdT/RdT o del consulente da esso nominato. Nulla esclude, tuttavia, che il TdT/RdT possa affidare al DPO, con ulteriori previsioni contrattuali, un ruolo di consulente “operativo”;
  2. Vigilanza sull’osservanza del GDPR nonché sulle specifiche politiche di trattamento adottate dal TdT/RdT;
  3. Cooperazione e interazione con le Autorità di controllo, compreso il ruolo di punto di contatto in caso di consultazioni e verifiche preliminari.

Quali competenze e titoli servono?

Il GDPR non elenca degli specifici requisiti, né esiste un “albo” dei DPO.

Tuttavia, l’Art. 37 del GDPR prevede che il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti” assegnati dal GDPR stesso.

Se guardiamo a stati dell’UE in cui la figura del DPO è stata introdotta in epoca precedente all’approvazione del GDPR, ritroviamo come requisiti comunemente accettati il numero di anni di esperienza e le competenze specialistiche intese sia come percorso di studi che come concreta attività di supporto ai TdT/RdT.

DPO interno o esterno?

Il GDPR non esclude che il ruolo di DPO possa essere affidato a soggetti interni alla struttura del TdT/RdT. È fondamentale, tuttavia, che non sussista conflitto di interessi tra il ruolo di DPO e i compiti e le funzioni “ordinarie” affidate. Tale condizione rende difficoltosa l’identificazione di un DPO interno, tranne che nei casi in cui la dimensione del TdT/RdT renda possibile l’assegnazione in via esclusiva del ruolo di DPO. Pensiamo all’inevitabile conflitto di interesse con i ruoli in ambito progettazione e sviluppo (finalità e modalità del trattamento), ICT (misure di sicurezza informatiche), commerciale e marketing (utilizzo dei dati personali per tali finalità), personale e organizzazione (misure di sicurezza organizzative).

Inoltre si può presentare complesso impostare un percorso per l’acquisizione o il consolidamento di competenze e titoli necessari per lo svolgimento del ruolo.

Pertanto, nella quasi totalità dei casi si propende per un affidamento all’esterno.

Tale affidamento può avvenire sia nei confronti di una singola persona fisica (un professionista), che nei confronti di una persona giuridica (una società). La soluzione prescelta può essere legata alla necessità o meno di mettere in campo un gruppo di lavoro ampio o di disintermediare il rapporto tra DPO e soggetti “vigilati”. Come Gruppo Neostudio ci muoviamo con entrambe le modalità a seconda delle specifiche esigenze del TdT/RdT.

Qualunque sia la scelta, il GDPR prevede la comunicazione obbligatoria dei dati del DPO al Garante Privacy. Al riguardo è utile segnalare una peculiarità: nella comunicazione al Garante Privacy, in caso di nomina di una persona giuridica, è necessario inserire i dati del DPO (che resta sempre e solo la Società) e di un mero “referente” interno del DPO per eventuali comunicazioni. In questo caso è solo la Società a poter essere identificata come DPO, a nulla rilevando la nomina del “referente” rispetto all’assunzione del ruolo.