Responsabile della protezione dei dati («Data Protection Officer – DPO»)
Chi è il «Data Protection Officer»
Il Responsabile della protezione dei dati personali (meglio noto come «Data Protection Officer – DPO») è una figura prevista dal GDPR e non deve essere confuso con il responsabile del trattamento. È un soggetto designato dal titolare o dal responsabile per assolvere a funzioni di supporto e controllo, consultive, formative e informative sull’applicazione del GDPR. Coopera con l’autorità di controllo (e proprio per questo, il suo nominativo deve essere comunicato al Garante); è punto di contatto anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Può essere un dipendente oppure una persona fisica esterna all’organizzazione del titolare o del responsabile.
Il titolare e il responsabile devono assicurare che il DPO sia coinvolto, nei modi e nei tempi opportuni, in tutte le questioni che attengono la protezione dei dati personali.
Chi è obbligato alla designazione del «Data Protection Officer»
L’obbligo è previsto in tre casi:
1. se il trattamento è svolto da autorità pubblica o organismo pubblico (a prescindere da quali categorie di dati sono trattate)
2. se le attività principali consistono in trattamenti che richiedono monitoraggio regolare e sistematico di interessati su larga scala
3. se le attività principali consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali, reati e a connesse misure di sicurezza.
I compiti del «Data Protection Officer»
Il GDPR assegna al DPO, tra gli altri, il dovere di monitorare il rispetto del GDPR. Il GDPR ulteriormente specifica che il DPO deve assistere il titolare e il responsabile, fornire indicazioni e suggerimenti e controllare l’aderenza al GDPR. Quindi, si deve richiedere consiglio e assistenza al DPO nel controllo del rispetto dei requisiti del GDPR.
Perché ciò avvenga il DPO deve, in particolare:
1. raccogliere qualsiasi informazione utile per conoscere la realtà dei trattamenti svolti e la realtà operativa in cui si esplicano, così da individuare quali sono i trattamenti e le loro caratteristiche
2. analizzare e verificare che i trattamenti eseguiti siano conformi al GDPR
3. informare, dare consulenza e indicazioni o suggerire procedure idonee a conformarsi al GDPR
4. organizzare formazione alle persone autorizzate al trattamento
5. intervenire quando interpellato per dare suggerimenti e consulenza nello svolgimento dei trattamenti fin dalla loro preventiva progettazione
6. è il punto di contatto con l’autorità di controllo e con gli interessati.
Nel caso della necessità di condurre un «impact assessment», il titolare si consulta con il DPO e richiede la sua assistenza nella fattiva esecuzione e nel controllare che sia svolto in maniera appropriata.
Nel caso della tenuta dei Registri delle attività di trattamento, sebbene sia compito del titolare e del responsabile e non del DPO, nulla osta che il titolare e il responsabile affidino al DPO questo compito. Tali Registri delle attività di trattamento possono considerarsi uno fra gli strumenti che permettono al DPO di espletare i suoi compiti di monitoraggio sulla conformità del trattamento, di consiglio e informazione al titolare e al responsabile.
Il GDPR prevede una serie minima di compiti del DPO, ma nulla osta che vengano assegnati al DPO altri compiti o che i compiti già stabiliti siano precisati con maggiore dettaglio.
I requisiti del «Data Protection Officer»
Il DPO deve essere nominato in base a qualità professionali e, in particolare, di un’elevata conoscenza della legislazione di protezione dei dati personali e delle pratiche, nonché la capacità di assolvere ai compiti affidati.
Il livello adeguato di esperta conoscenza deve essere definito in base al tipo di attività di trattamento condotte e al grado di protezione richiesto per i dati personali trattati.
Quindi, sono fondamentali i seguenti requisiti:
1. conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un’approfondita conoscenza del GDPR
2. conoscenza dei trattamenti eseguiti
3. conoscenze delle procedure informatiche e tecnologiche e di sicurezza in generale
4. conoscenza dello specifico settore di attività e dell’organizzazione del titolare e del responsabile
5. deve poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, cooperando nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare
6. capacità di promuovere una cultura della protezione dei dati, anche attraverso l’organizzazione di corsi formativi.
La nomina del «Data Protection Officer» e la comunicazione all’autorità di controllo
Il GDPR riconosce il DPO come un attore centrale nel nuovo assetto di governance della protezione dei dati personali e definisce le condizioni per nomina, posizione e compiti.
La designazione del DPO deve essere scritta e determinare i suoi compiti, avendo dapprima accertato che la persona sia dotata dei requisiti prescritti dal GDPR. La designazione può essere di libera redazione.
I dati del DPO devono essere comunicati all’autorità di controllo: per l’Italia è disponibile una procedura telematica (https://servizi.gpdp.it/comunicazione-rpd/). Per conoscere quali sono i dati da comunicare e come compilare la comunicazione si può consultare il template in PDF e le istruzioni messi a disposizione dall’autorità di controllo.
L’autorità di controllo ha anche messo a disposizione il modello da usare per comunicare la revoca del DPO.
Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.