L’art. 37 del Regolamento generale sulla protezione dei dati introduce la figura – nuova per il nostro ordinamento – del Data Protection Officer (DPO) o Responsabile della Protezione dei dati (RPD).
Il Data Protection Officer è un “facilitatore”, in quanto facilita l’osservanza della normativa in materia di protezione dei dati personali e funge da interfaccia fra i soggetti coinvolti – autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.
Il DPO deve:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e anche gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante oppure, eventualmente, consultare l’Autorità di propria iniziativa.
Il diretto coinvolgimento del DPO in tutte le questioni che riguardano la protezione dei dati personali è garanzia di qualità del risultato del processo di adeguamento e per tale motivo si ritiene che lo stesso costituisca fulcro del processo di attuazione del principio di “responsabilizzazione”.
La designazione del DPO è obbligatoria nei casi espressamente previsti dall’art. 37 del Regolamento sulla protezione dei dati personali.
Nello specifico, il Data Protection Officer va designato se:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Resta inteso che è possibile procedere alla nomina del DPO anche su base volontaria.
La scelta del soggetto cui conferire il ruolo di DPO – interno o esterno – deve avvenire in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i suoi compiti.
Il DPO deve operare in maniera indipendente. Come precisato nelle Linee Guida del Gruppo di lavoro articolo 29 sui responsabili della protezione dei dati personali, per consentire al DPO di operare in maniera indipendente occorre che:
- il titolare o il responsabile del trattamento non diano alcuna istruzione per lo svolgimento dei compiti affidati al DPO;
- non sia prevista alcuna penalizzazione o rimozione dall’incarico in rapporto allo svolgimento dei compiti affidati al Data Protection Officer;
- non si configuri alcuna ipotesi di conflitto di interessi con eventuali ulteriori compiti e funzioni.
Per chi volesse approfondire il tema, si rinvia ai contenuti riportati nel sito web del Garante privacy alla pagina pagina informativa dedicata al Responsabile della protezione dei dati.