Il Data Protection Officer, in italiano Responsabile della Protezione dei Dati, è la figura che il GDPR introduce per vigilare sull'applicazione della normativa privacy all'interno dell'organizzazione. Non è una figura sempre obbligatoria: l'art. 37 del Regolamento la richiede solo in casi specifici, ma molte aziende la nominano comunque per ridurre il rischio di sanzioni e dimostrare accountability verso il Garante. Contenuto informativo: la valutazione dell'obbligo di nomina richiede sempre un consulente privacy o un legale specializzato in protezione dei dati.
Capire se si rientra nei casi obbligatori, e quali requisiti deve avere chi viene nominato, evita due errori opposti: nominare un DPO senza i requisiti di indipendenza richiesti, oppure non nominarlo quando la legge lo impone.
I tre casi di nomina obbligatoria
L'art. 37 GDPR impone la nomina del DPO in tre situazioni: quando il trattamento è effettuato da un'autorità pubblica o un organismo pubblico, salvo le autorità giudiziarie nell'esercizio delle loro funzioni; quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (salute, origine etnica, orientamento sessuale, convinzioni religiose) o di dati relativi a condanne penali e reati.
Il concetto di "attività principale" e "larga scala" non ha soglie numeriche fisse nel testo del Regolamento, ma le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) offrono criteri interpretativi: numero di interessati coinvolti, volume di dati, durata del trattamento, estensione geografica. Ospedali, assicurazioni, banche e società di profilazione comportamentale rientrano tipicamente nei casi obbligatori.
Interno, esterno o condiviso: chi può essere DPO
Il DPO può essere un dipendente del titolare oppure un soggetto esterno, incaricato tramite un contratto di servizio. Può anche essere condiviso tra più organizzazioni, in particolare nel caso di gruppi societari o di enti pubblici di piccole dimensioni, purché sia facilmente raggiungibile da ciascuna struttura per cui opera.
Il vincolo più importante riguarda i conflitti di interesse: il DPO non può occupare un ruolo che lo porti a determinare le finalità e i mezzi del trattamento. Per questo sono tipicamente incompatibili posizioni come responsabile IT, direttore HR o responsabile legale, quando queste figure decidono attivamente sulle modalità di trattamento dei dati che il DPO dovrebbe poi controllare in autonomia.
Le garanzie di indipendenza richieste
Il titolare deve garantire che il DPO non riceva istruzioni riguardo all'esercizio dei suoi compiti, non sia rimosso o penalizzato per l'esercizio delle sue funzioni, e riferisca direttamente al vertice gestionale dell'organizzazione. Deve inoltre essere coinvolto in modo tempestivo e adeguato in tutte le questioni connesse alla protezione dei dati, non consultato a posteriori quando le decisioni sono già state prese.
Tra i compiti tipici del DPO: informare e consigliare il titolare e i dipendenti sugli obblighi derivanti dal GDPR, sorvegliare l'osservanza del Regolamento, fornire un parere sulle valutazioni d'impatto (DPIA) quando richieste, cooperare con il Garante e fungere da punto di contatto per l'autorità e per gli interessati.
Comunicazione al Garante e pubblicazione dei contatti
I dati di contatto del DPO vanno comunicati al Garante per la Protezione dei Dati Personali tramite l'apposito servizio online, e pubblicati in modo che siano facilmente accessibili sia agli interessati sia all'autorità di controllo, tipicamente nella privacy policy del sito web. Non è richiesto pubblicare il nome della persona fisica: è sufficiente un indirizzo email o un riferimento funzionale dedicato.
Domande frequenti
- Quando è obbligatorio nominare il DPO?
Nei tre casi previsti dall'art. 37 GDPR: trattamento da parte di un'autorità pubblica, monitoraggio regolare e sistematico di interessati su larga scala, oppure trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali.
- Il DPO può essere un dipendente interno?
Sì, purché non sia in conflitto di interessi: non può occupare ruoli come responsabile IT, HR o legale che decidono attivamente sui trattamenti. Può anche essere esterno o condiviso tra più organizzazioni.
- Quali garanzie di indipendenza deve avere il DPO?
Il titolare deve garantire che non riceva istruzioni sull'esercizio dei suoi compiti, non sia rimosso per l'esercizio delle sue funzioni, e riferisca direttamente al vertice gestionale, oltre a essere coinvolto tempestivamente in ogni questione di protezione dei dati.
- Va comunicato al Garante il nominativo del DPO?
Sì, il titolare deve comunicare i dati di contatto del DPO al Garante e pubblicarli, ad esempio nella privacy policy, in modo facilmente accessibile agli interessati e all'autorità di controllo.