Banner-DPO
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (pubblicato sulla Gazzetta Ufficiale europea L. 119 del 4 Maggio 2016)
Il DPO è designato dal titolare o dal responsabile del trattamento per fornire supporto e controllo relativamente all’applicazione del GDPR.
Tutti gli enti pubblici devono nominare un soggetto qualificato che si occupi  della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza. Anche le aziende o le organizzazioni private che presentano determinate caratteristiche nei trattamenti di dati personali.
Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante ecostituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

PRINCIPALI COMPITI DEL DPO

l DPO può  assolvere i suoi compiti in base a un contratto di servizi oppure può essere un dipendente dell’organizzazione titolre del trattamento. Le sue competenze sono:
  • Giuridiche
  • Informatiche
  • In tema di risk management
  • In tema di analisi dei processi
Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (sia essa pubblica che privata).
L’Articolo 39 del Regolamento Europeo sulla protezione dei dati personali elenca i principali compiti del DPO:
  • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati
  • Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
  • Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’Articolo 35
  • Cooperare con l’autorità di controllo
  • Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’Articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione

SCELTA DEL DPO

Il responsabile della protezione dei dati personali non è richiesta l’iscrizione ad appositi Albi. I soggetti privati dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenza ed esperienza specifica.
La figura del DPO dovrà avere un’approfondita conoscenza della normativa e della prassi in materia di privacy nonché la padronanza delle norme e delle procedure amministrative che caratterizzeranno lo specifico settore di riferimento.
Sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali ed esperienze adeguate alla complessità del compito da svolgere, comprovate e documentate.

CERTIFICAZIONI IDONEE A LEGITTIMARE IL DPO

Per la figura del DPO si sono diffusi degli schemi di certificazione volontaria delle competenze. Si pensi alla norma ISO 11697/2017. Queste attestazioni ad ogni modo non equivalgono ad una “abilitazione” del ruolo né, allo stato, sono idonee a sostituire il giudizio rimesso alle Pubbliche Amministrazioni nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del GDPR.

REQUISITI DI UN DPO

Al Responsabile della Protezione dei Dati Personali non sono richieste specifiche attestazioni formali o iscrizione in appositi albi.
Il DPO ad ogni modo deve necessariamente possedere un’approfondita conoscenza della normativa nonché delle procedure amministrative del settore specifico di riferimento.
La figura in questione deve essere in grado di progettare, verificare e mantenere un sistema di gestione dei dati personali organizzato comprensivo di tutte le misure – anche di sicurezza – e le garanzia adeguate al contesto in cui è chiamato ad operare.
Deve avere piena indipendenza (Rif. Considerando n. 97 del Regolamento UE 2016/679) ed autonomia riferendo direttamente ai vertici delle organizzazioni.
Il DPO deve disporre, infine di adeguate risorse (personale, locali, attrezzature etc.,) utili all’espletamento dei propri compiti.

IL RUOLO DI DPO È COMPATIBILE CON ALTRI INCARICHI?

Si, a condizione che non sia in conflitto di interessi.
In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione come ad esempio:
  • Amministratore delegato
  • Direttore Generale
  • Membo del CdA (Consiglio di Amministrazione)
È fondamentale pertanto che il DPO sia inserito nel contesto organizzativo a livello apicale per poter esercitare il proprio potere decisionale.

DPO COME PERSONA FISICA O GIURIDICA

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (Art. 37, par. 6, del Regolamento).
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.

LE RESPONSABILITÀ DEL DPO

Il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento devono risarcire i danni causati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito.
Conseguentemente, qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento sarà chiamato a rispondere, in solido, per la totalità̀ del danno, salvo dimostri che l’evento dannoso non gli sia imputabile e fermo restando, in ogni caso, il diritto di proporre un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nel medesimo trattamento.
Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

LA DISTRIBUZIONE DELLE RESPONSABILITÀ

Ciò premesso, la norma chiarisce che un titolare del trattamento risponde per il danno cagionato dal trattamento che violi il presente regolamento, mentre il soggetto nominato responsabile del trattamento ai sensi dell’art. 28 GDPR risponde solo in caso di inadempimento degli obblighi del GDPR specificatamente diretti ai responsabili del trattamento ovvero qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il contratto stipulato tra titolare e responsabile proprio per dirimere tutti gli aspetti relativi alla nomina di questi nell’ambito di uno o più trattamenti di dati dovrebbe essere la sede adatta anche per prevedere allocazioni preventive di responsabilità e delle eventuali azioni rimediali.
Quanto, infine, alla responsabilità del “Data Protection Officer”, si evidenzia che lo stesso ha certamente responsabilità contrattuali nei confronti del titolare del trattamento, ma non potrà essere responsabile nei confronti degli interessati in caso di inosservanza degli obblighi in materia di protezione dei dati personali.
Ricordiamolo ancora una volta: tale responsabilità resta in capo al titolare e non è in alcun modo delegabile, anche in virtù del principio di accountability: è il titolare che deve essere in grado di dimostrare la liceità del trattamento e la non imputabilità alla propria condotta di eventuali danni a terzi per poter evitare di incorrere nelle sanzioni sopra illustrate.