Chi è il Data Protection Officer (DPO)?

Il Reg. Eu 679/2016 ha introdotto la figura del DPO, ossia del Data Protection Officer – in italiano RPD, Responsabile della Protezione dei Dati.
Il DPO è un consulente tecnico e legale, con potere esecutivo. Il suo ruolo è duplice, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
I suoi compiti sono indicati in maniera puntuale all’art. 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.

Quali sono i requisiti legali per ricoprire il ruolo di DPO?

Il GDPR richiede che il DPO operi in maniera indipendente e senza istruzioni da parte del titolare del trattamento dei dati sul modo scelto per l’esecuzione dei compiti richiesti dal ruolo. Ciò include le istruzioni sui risultati da ottenere, come esaminare un reclamo o se consultare l’autorità di controllo.

Sebbene il GDPR consenta al DPO di svolgere altri compiti e funzioni, le organizzazioni sono tenute a garantire che queste attività non comportino un conflitto di interessi con i doveri del responsabile della protezione dei dati.

Quali qualifiche deve possedere un DPO?

Il GDPR non specifica i requisiti richiesti per svolgere il ruolo di DPO. Tuttavia, si può dire che dovrebbe avere:

• Livello di competenza – è essenziale che il DPO sappia pianificare, implementare e gestire un programma di protezione dei dati. Quanto più sono complesse o ad alto rischio le attività di trattamento dei dati, tanto maggiori saranno le competenze di cui il DPO avrà bisogno.
• Qualifiche professionali – non è necessario che sia un avvocato abilitato, ma deve avere una conoscenza approfondita della legislazione nazionale ed europea in materia di protezione dei dati, tra cui il GDPR. Inoltre, deve conoscere le misure tecniche ed organizzative implementate dall’organizzazione ed avere familiarità con le tecnologie relative alla sicurezza delle informazioni.

Nel caso di un’autorità o ente pubblico, il DPO dovrebbe conoscere anche le norme e procedure amministrative della stessa.

Quando è obbligatorio nominare un DPO?

Il Regolamento sulla Data Protection disciplina l’istituzione della figura del Data Protection Officer nei seguenti casi:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Cosa deve fare il DPO?

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Area Privacy Meleam