Chi è il DPO?


 Chi è il Responsabile della protezione dei dati (RPD / DPO)?

Il Responsabile della protezione dei dati (RPD) meglio conosciuto con l'anglismo Data Protection Officer (DPO) è una figura che seppur preesistente in alcuni ordinamenti europei è venuta alla ribalta delle nuove professioni legate al digitale con l'adozione e l'entrata in vigore del nuovo Regolamento europeo sulla protezione dei dati personali EU 2016/679 meglio conosciuto con l'acronimo di GDPR o RGPD in italiano. Il DPO è un presidio alla protezione dei dati personali i suoi compiti sono definiti dall’art. 39 del GDPR. La sua designazione diventa sistematica nei casi specificati dall’art. 37 del GDPR

Quali sono i compiti del DPO?

  • Sorvegliare l’osservanza del regolamento riguardo all'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di audit
  • Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento 
  • Fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento dei dati personali (per esempio in caso di ispezioni del Garante)
  • Fornire se richiesto un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA)
  • Cooperare con l’Autorità di controllo
Quando deve essere designato il DPO?
  • Se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni
  • Se le attività principali del Titolare o del Responsabile del trattamento consistono in trattamenti che, per la loro natura, ambito di applicazione e/o finalità, richiedono un «monitoraggio regolare e sistematico» degli interessati
  • Se le attività principali del Titolare o del responsabile del trattamento  consistono nel trattamento su «larga scala» di «categorie particolari» di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari)

Chi deve nominare il DPO?

Per quanto riguarda la designazione del DPO. L’art. 37 fa riferimento, senza distinzione, sia al Titolare del trattamento che al Responsabile del trattamento. A seconda di chi soddisfi i criteri relativi alla obbligatorietà della nomina può essere il solo titolare a doverlo designare oppure può essere il solo responsabile. Quindi, se il Titolare è tenuto a nominare un DPO non è detto che tale obbligo incomba anche sul Responsabile. Può anche capitare che sia l’uno che l’altro siano obbligati a nominare un DPO. In quest’ultima ipotesi i DPO designati saranno tenuti alla reciproca collaborazione.

E’ possibile nominare un DPO per più organismi?

  • Ai sensi del paragrafo 2 dell’art. 37, un gruppo imprenditoriale, inteso (ai sensi della definizione fornita dall’art. 4, numero 19, del regolamento) come un gruppo costituito da un’impresa controllante e dalle impresa da queste controllate, può nominare un unico DPO a condizione che questi sia facilmente raggiungibile da ogni stabilimento.
  • Ai sensi del paragrafo 3 dell’art.37, è consentita la designazione di unico DPO per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione
Quali sono i requisiti richiesti per la nomina del DPO? 
  • La scelta del curriculum più adatto è in capo al titolare del trattamento e varierà in base alle caratteristiche dell’organizzazione
  • Il DPO è una figura professionale poliedrica e trasversale che deve avere conoscenza specialistica della normativa e della pratica in materia di protezione dei dati
  • Nelle realtà più complesse è auspicabile costituire un gruppo di lavoro composto da esperti professionisti nel settore giuridico, informatico, manageriale ecc. che possa supportare al meglio il titolare ed il responsabile del trattamento nello svolgimento degli adempimenti richiesti dalla normativa comunitaria
  • Secondo il Garante, tutte le organizzazioni, sia pubbliche che private, dovranno scegliere il Responsabile della protezione dei dati personali con attenzione, verificando la presenza di competenze ed esperienze specifiche. Quindi, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali: serve solo, invece, che il DPO possa garantire la corretta e completa esecuzione dei propri compiti, un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento
Meglio nominare un DPO interno o esterno?
  • Ai sensi del paragrafo 6 dell’art. 37, il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure, in base ad un contratto di servizi, un soggetto esterno all’organismo o all’azienda. Le linee Guida (2.5) chiariscono che il soggetto esterno può essere una persona fisica o una persona giuridica.
  • Nel caso in cui il DPO sia una persona giuridica è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante come DPO soddisfi tutti i requisiti applicabili come fissati nella sezione 4 del Regolamento Europeo sulla protezione dei dati, pertanto il soggetto (persona fisica) operante come DPO deve essere “appartenente” alla persona giuridica. Le linee guida sui responsabili della protezione dati del 13 dicembre 2016 wp243rev.01 suggeriscono che le competenze e le abilità dei singoli componenti siano associate allo scopo, lavorando in team, di fornire alla clientela un servizio più efficace. Tale «appartenenza» può essere sancita anche sulla base di un contratto. Al proposito si veda la sentenza n. 1468/2019 del TAR Puglia-Lecce.
Quanto deve essere la durata dell’incarico?
  • Il Regolamento non dice nulla riguardo la durata dell’incarico. Tuttavia, in linea con l’obiettivo del Regolamento di garantire al DPO autonomia ed indipendenza (vedasi l’art. 38, paragrafo 3) le linee guida (3.4) sottolineano che quanto è maggiore la stabilità del contratto stipulato (e maggiori sono le tutele previste contro un ingiusto licenziamento) maggiore sarà la possibilità che egli possa adempiere al suo compito in modo indipendente.
  • Allo scopo di dare continuità all’attività di consulenza in materia di dati personali le linee guida del Garante Europeo EDPS European Data Protection Supervisor suggeriscono da una durata minima di 3 - 5 anni ad una dirata massima di 10 anni
Quale deve essere la posizione del DPO nell'organigramma dell’ente/azienda?
  • Il DPO deve essere parte integrante dell’organizzazione.
  • Allo stesso tempo il DPO deve svolgere i suoi compiti in modo autonomo e indipendente.
  • Il DPO non deve ricevere istruzioni riguardo ai propri compiti.
  • Il DPO deve evitare il conflitto di interesse riguardo alle sue mansioni.
  • Il DPO non deve essere a capo di U.O. che effettuano trattamenti (come risorse umane e IT ad esempio).
  • Il DPO non riferisce al suo diretto superiore ma direttamente ai vertici aziendali, AD.
  • Il DPO è responsabile del budget assegnato dall’azienda o dall’ente per lo svolgimento dei suoi compiti.
  • L’azienda/ente deve supportare il DPO mettendogli a disposizione lo staff e il personale necessario.
  • L’azienda/ente deve supportare il DPO assegnandogli gli opportuni spazi per poter operare.
  • Il DPO si interfaccia direttamente con l’Autorità di controllo, è il primo ad essere informato su eventuali ispezioni.
Alcuni chiarimenti sulla figura del DPO
  • Il TAR per il Friuli Venezia Giulia, sezione prima, con la sentenza 5 settembre 2018, n. 287 ha accolto il ricorso di un candidato contro l’avviso pubblico di selezione dell’ Azienda per l'Assistenza Sanitaria n. 3 Alto Friuli Collinare Medio Friuli per l'affidamento di un incarico di lavoro autonomo per l'impostazione e l'avvio delle funzioni di DPO ritenendo che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 richiesta non costituisca titolo abilitante. Nella stessa sentenza Il TAR per il Friuli Venezia Giulia si spinge oltre, raccomandando per il DPO un profilo eminentemente giuridico
  • L’Autorità garante della concorrenza ed il mercato nel suo bollettino settimanale anno XXX – n. 1 (gennaio 2020) in merito ad alcune selezioni per l’affidamento del servizio di Responsabile protezione dati da parte di alcune amministrazioni pubbliche richiedenti l’iscrizione all’albo professionale degli avvocati segnala come le norme che disciplinano le funzioni ed i requisiti del DPO non individuano uno specifico titolo di studio ai fini dello svolgimento di tale incarico. Lo specifico riferimento al requisito dell’iscrizione all’albo professionale degli avvocati, per l’Authority appare discriminatorio e non giustificato.

Commenti