Perché il Data Protection Officer è così importante e quali sono le sue funzioni e le sue competenze?
Il Data Protection Officer (DPO) - o Responsabile della Protezione dei Dati (RPD) – è una nuova figura introdotta dal Regolamento (UE) 2016/679 (GDPR) all’art. 37, che deve essere dotato di competenze specifiche in materia di privacy, autonomia, indipendenza, e che riveste funzioni che gli permettono di affiancare il titolare, i responsabili e gli autorizzati al trattamento affinché svolgano le attività aventi ad oggetto i dati personali nel rispetto delle norme in materia e gestiscano i rischi seguendo i princìpi e le indicazioni della stessa.
Il DPO è quindi un consulente tecnico e legale interno o esterno - nominato, in quest’ultimo caso, mediante un negozio giuridico - ma anche figura di raccordo. Infatti, il suo ruolo è duplice, in quanto non solo consiglia e sorveglia ma, come vedremo, funge anche da tramite fra l’organizzazione e l’Autorità di controllo. Questo significa che, come previsto dall’art.39 del GDPR, il DPO è una figura che assume rilievo nella dimensione interna dell’ente pubblico o della persona giuridica presso la quale opera, ma anche all’esterno.
1. Le funzioni del DPO all’interno dell’ente
All’art. 39, par. 1, dalla lett. a) alla lett. c), vengono individuati i compiti che il responsabile della protezione dei dati svolge all’interno dell’ente.
In primo luogo, la norma prevede che il DPO deve informare e fornire consulenza al titolare, al responsabile e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa europea e nazionale in materia di privacy. Deve, in altri termini, fornire a detti soggetti tutte le indicazioni necessarie per il rispetto delle regole e dei diritti degli interessati. Non solo, deve anche sorvegliare l’osservanza delle regole, e non solo indicare come farlo. Si tratta, quindi, sia di fornire consulenza sul rispetto delle norme, sia di vigilare affinché ciò avvenga. A tal fine, il DPO sorveglia anche l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Per fare ciò, è fondamentale l’attuazione del par. 1 dell’art. 38 del GDPR, il quale prevede che il DPO debba essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Lo stesso si potrebbe dire poi in merito alla successiva lett. c) del par. 1 dell’art. 39, il quale prevede che, se richiesto, il DPO fornisce un parere in merito alla valutazione d’impatto e ne sorveglia lo svolgimento ex art. 35.
2. Le competenze esterne del DPO
Ai sensi delle lett. d) ed e) del GDPR, il DPO svolge anche funzioni “all’esterno”, che lo rendono cioè il riferimento principale del Garante Privacy. Egli è infatti tenuto a cooperare con l’Autorità di controllo, fungendo da punto di contatto con la stessa per questioni connesse al trattamento, tra cui, in prims, la consultazione preventiva di cui all'art. 36, ossia prima che venga svolta qualsivoglia attività quando, in base alla valutazione d’impatto, queste presenterebbero un rischio elevato in assenza di misure adottate per mitigarlo. Se si presenta la necessità, però, egli è il riferimento principale anche per altre questioni concernenti il trattamento dei dati, senza che vi sia un numero chiuso di circostanze.
3. Conclusioni
In conclusione, si può affermare che il DPO è quindi il “vigilante” del rispetto delle norme in materia di protezione dei dati per tutte le realtà in cui opera. A tal proposito, occorre precisare che, benché l’art. 37, par. 1, del GDPR preveda espressamente i soggetti tenuti alla nomina del DPO, è anche vero che la sua designazione è spesso consigliata a prescindere dagli obblighi di legge. Peraltro, bisogna porre l’attenzione sul testo dell’art 39, par. 1, il quale prevede che il DPO è incaricato “almeno” delle funzioni espressamente citate. Questo significa che le attività espressamente previste dalla norma non sono altro che il minimo richiesto dal Regolamento, ma le circostanze di ciascuna realtà potrebbero richiedere un’attività ben più ricca e complessa.