Logo Tom's Hardware

Il Data Protection Officer, chi è e di cosa si occupa

Il Data Protection Officer è una figura introdotta dal nuovo Regolamento Europeo in materia di privacy. Ecco di cosa si occupa e i requisiti che deve avere.

Avatar di Luigi Dinella

a cura di Luigi Dinella

banner tom s legal 813643fc24538e60ff074e8dea9719c67

Il nuovo Regolamento Europeo in materia di privacy (2016/679) ha introdotto la figura di un supervisore che, dotato spiccate conoscenze della normativa e della prassi in materia di privacy e di ampia autonomia (non risponde in caso di inosservanza del Regolamento), avrà il compito di monitorare e assistere il responsabile e il titolare nel trattamento e nella gestione dei dati.

internet privacy

La normativa indica le modalità di nomina del Data Protection Officer, specificando altresì i requisiti che il soggetto deve possedere ai fini della designazione. Vengono stabiliti casi obbligatori in cui la figura deve essere necessariamente nominata: in ogni caso per pubbliche amministrazioni ed enti pubblici, in alcuni casi anche (o su base volontaria) nell'ambito privato.

Il DPO, oltre ad avere una sorta di ruolo responsabilizzante nell'effettuare i trattamenti, in quanto avrà tra i vari compiti quello di vigilare sull'osservanza del Regolamento, sarà anche una figura di raccordo tra i vari soggetti interessati dal trattamento che potranno contattarlo in modo agevole (interessati, autorità di controllo etc.).

La nascita di questa nuova figura comporterà ulteriori oneri per il titolare e il responsabile del trattamento, in quanto, oltre a doverla designare, dovranno porre in essere ogni attività utile a consentirgli di svolgere i propri compiti: è necessario, dunque che mettano a disposizione tutte le risorse necessarie per un corretto svolgimento dell'attività da parte del DPO. 

Requisiti per la nomina

Per quanto riguarda la nomina, questa viene effettuata direttamente dal titolare o dal responsabile del trattamento e il soggetto può essere designato o tra gli stessi dipendenti del titolare oppure può essere una figura esterna legata tramite un contratto di servizi.

È necessario (ex art. 37 comma 5: Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39), visto l'importante ruolo che dovrà andare a ricoprire, che il DPO sia una figura con una completa e approfondita preparazione in materia di privacy a livello europeo e nazionale e che sia idoneo a svolgere i compiti indicati dallo stesso RGPD (conoscenza di normative e prassi), per quanto il livello di conoscenze necessarie sia da relazionare con la tipologia e la complessità dei trattamenti per cui il DPO viene nominato.

privacytwitter

Il Regolamento consente che il DPO svolga anche altre tipologie di attività lavorative, purché queste non lo pongano in una posizione di conflitto d'interessi con la carica ricoperta. È inoltre consentita, per un gruppo imprenditoriale, la nomina di un unico DPO, purché "facilmente raggiungibile da ciascuno stabilimento" (visto il suo ruolo di figura di contatto tra i vari soggetti).

Come anticipato, vi sono casi in cui la nomina del DPO dev'essere obbligatoria, ma ciò non toglie che, al di fuori di queste ipotesi, il titolare (o responsabile) del trattamento decida di nominarlo ugualmente per fornire una maggiore tutela agli interessati.

Il Regolamento impone la nomina del Data Protection Officer in tre casi:

  • Quando il trattamento è effettuato da un'autorità o un ente pubblico, a eccezione dei tribunali nell'esercizio di attività giudiziaria: il Regolamento non fornisce alcuna definizione di autorità od organismo pubblico, che sarà quindi da rinvenire nelle specifiche normative nazionali ed europee.
  • Quando le attività principali del titolare del trattamento consistono in operazioni che, vista la loro natura o finalità, richiedono un monitoraggio regolare e sistematico su larga scala delle persone interessate. Il Regolamento non riporta, tuttavia, un'esplicita definizione del concetto di "larga scala", contenuto però nel considerando 91 dello stesso RGDP, che fornisce anche alcuni esempi di trattamento in larga scala (trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato"). D'altro canto, lo stesso considerando prevede in modo specifico che "Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato". Non è fornita dal Regolamento neppure una definizione di "monitoraggio regolare", data anch'essa da un considerando (n. 24) che vi ricomprende le forme di tracciamento e profilazione su Internet anche a fini pubblicitari (ma non solo nel mondo online).
  • Quando le attività principali del titolare consistono nel trattamento su larga scala di categorie speciali di dati come i dati sensibili o giudiziari. 

Poteri

Il DPO, che ai sensi del RGPD riveste una posizione di vertice nella gerarchia delle figure privacy, dev'essere tempestivamente ed adeguatamente coinvolto in tutte le questioni che riguardano la protezione dei dati personali (ex art. 38).

privacy

Il Regolamento (art. 39) elenca anche i compiti di cui è investita questa figura e questi sono i principali:

  • La vigilanza sulla corretta applicazione della normativa sulla protezione dei dati (informa e consiglia titolare e responsabile sugli obblighi derivanti dal Regolamento e ne verifica la regolare attuazione).
  • La sovraintendenza nella valutazione d'impatto sulla protezione dei dati personali: il DPO eventualmente nominato affianca (art. 35 del GDPR) il titolare del trattamento ai fini della valutazione di impatto sulla protezione dei dati personali. La valutazione d'impatto riguarda ogni trattamento di dati personali che presenta rischi per i diritti e le libertà degli individui ed è necessaria prima di procedere allo stesso trattamento. È l'autorità di controllo a redigere una lista di trattamenti che devono essere soggetti a tale procedura (come ad esempio quelli, in larga scala, o i trattamenti automatizzati di profilazione).
  • La cooperazione e la collaborazione con l'Autorità di Controllo e con le varie Autorità competenti (funge, ad esempio, da punto di contatto per il Garante sulla protezione dei dati personali).
  • Il controllo circa la documentazione, notificazione e comunicazione delle violazioni di dati personali.

È sicuramente da rimarcare come tutti questi compiti devono essere svolti nella piena indipendenza e autonomia, in quanto il DPO non deve e non può ricevere ordini e istruzioni da nessun soggetto.

Tom's Consiglia

Quello della privacy e è un tema complesso ma che riguarda da vicino tutti noi. Per iniziare a capirci qualcosa si può partire leggendo Privacy e Regolamento Europeo.

Leggi altri articoli