Responsabile Protezione Dati – chi è il DPO e come nominarlo

Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO). Figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che è ora obbligatoria per tutta la pubblica amministrazioni e in alcuni casi anche in ambito privato.

Con l’arrivo del decreto di adeguamento italiano al Gdpr, tutti i tasselli normativi sono al posto giusto perché le organizzazioni italiane, senza più alibi, siano chiamate all’attuazione delle nuove norme. Compresa, appunto, la nomina del DPO.

Il responsabile della protezione dei dati è incaricato di:

• Informare e fornire consulenza al titolare ed al responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti da GDPR e dalle altre normative relative alla protezione dei dati.
• Sorvegliare l’osservanza del GDPR e delle altre normative relative alla protezione dei dati, fermo restando la responsabilità del titolare e del Responsabile del trattamento.
• Sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal titolare e dal responsabile del trattamento.
• Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.
• Cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità.
• Verificare la tenuta dei registri del Titolare e del/dei Responsabili sul trattamento.

In riferimento ai requisiti soggettivi e specificatamente allo profilo dello status, il candidato DPO ideale in molti casi potrebbe molto probabilmente occupare una posizione dirigenziale o manageriale stante l’obbligo di riferire al vertice gerarchico, un profilo senior potrà garantire maggiore indipendenza rispetto ad uno junior, soprattutto per garantire in modo effettivo la non ingerenza nelle proprie attività da parte del titolare. Inoltre, dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, le linee guida esplicitano che dovrà anche essere dotato di una linea di budget adeguata graduata sulla complessità dell’organizzazione.

Il DPO potrà anche essere un dipendente dell’organizzazione oppure esterno in forza di un contratto di servizi, in quest’ultimo caso mentre l’indipendenza intesa come non ingerenza nelle proprie attività è un elemento più facile da soddisfare rispetto al DPO interno, il conflitto di interessi dovrà comunque essere disciplinato tenuto conto di alcune specificità del DPO esterno.

In ordine a quest’ultimo requisito soggettivo, il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali critici dell’organizzazione in tema di protezione dei dati.

Il DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e nello specifico è previsto l’obbligo nel caso in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Preme infine ricordare che, come anche chiarito nelle recenti linee giuda, il DPO non potrà rispondere personalmente della non conformità dell’organizzazione al regolamento europeo, responsabilità dirette che ricadono esclusivamente sul titolare e sul responsabile.

Si tratta quindi di una figura professionale nuova sul mercato, sebbene diversi grandi enti ed operatori si siano dotati da diversi anni di una funzione privacy che svolge compiti assibilabili al DPO, che necessita di una preparazione specialistica e una formazione continua ma anche di un’esperienza concreta sul campo per supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.

Per essere compliance occorre pertanto non solo una corretta procedura di selezione del candidato DPO, ma occorre valutare il proprio contesto legale-organizzativo che deve garantire una corretta gestione delle problematiche che inevitabilmente si porranno non solo in termini di indipendenza e di assenza di conflitto di interessi ma per una corretta integrazione del DPO con le altre funzioni dell’organizzazione.

Inforedil Service si occupa di consulenza e privacy GDPR, contattaci in privato per maggiori informazioni e per un preventivo gratuito.