Chi è il DPO, il Responsabile della protezione dei dati, previsto dal già in vigore Regolamento (UE) 2016/679 che diventerà definitivamente applicabile il 25 Maggio 2018.
Il DPO è una figura esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione, all'interno di un'organizzazione, affinché questi siano trattati in modo lecito.
La storia
La prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). In seguito la sua figura fu istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. Essa fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. In Italia all’interno del Codice della Privacy (D.Lgs. n. 196/2003) non si fa riferimento al Responsabile della protezione dei dati, ma lo fanno le Linee guida in materia di Dossier sanitario del 4 giugno 2015 dove, in ragione della particolare delicatezza dei dati contenuti nel dossier sanitario, il Garante italiano auspicava che i Titolari del Trattamento individuassero una figura di Responsabile della protezione dei dati che svolgesse il ruolo di referente con il Garante anche in caso di “Data Breach”.Il 24 maggio 2016 è stato approvato il Regolamento (UE) 2016/679, che uniforma la legislazione in materia di protezione dei dati in tutta l’Unione Europea e che, all’art. 37, designa l’obbligatorietà per enti e aziende di nominare un DPO ufficiale.
Requisiti e compiti
Secondo il testo del regolamento europeo sulla protezione dei dati personali, una volta designato il responsabile, l’organizzazione deve assicurarsi che sia prontamente coinvolto e che possa adempiere alle sue funzioni in piena indipendenza allo scopo di non creare un conflitto di interessi nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa. Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il titolare e i responsabili del trattamento sostengono il DPO nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie quali risorse finanziarie, personale, locali, attrezzature e quanto necessario per adempiere alle sue funzioni. A seconda dell'organigramma stabilito dall'azienda o dall'ente, può esserci anche più di un responsabile, specialmente nei casi di grandi organizzazioni e multinazionali, nelle quali la mole di lavoro prevedrebbe l’impiego di più soggetti.
Ai sensi dell'art. 39 del Regolamento europeo sulla protezione dei dati, il DPO:
a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;
c. deve avere le risorse necessarie per adempiere ai compiti assegnati;
d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;
e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);
f. deve essere indipendente nell'esercizio delle sue funzioni;
g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;
h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;
i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.
L'articolo 39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del DPO, che sono almeno i seguenti:
a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;
b. sorvegliare l'osservanza del Regolamento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;
c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliarne lo svolgimento;
d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.
Quando si nomina un DPO
In base al Regolamento il DPO deve essere nominato quando:
a. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: il WP29 dà un’interpretazione estensiva di organismo pubblico e raccomanda, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono incarichi pubblici o che esercitano pubblici poteri. La sua attività dovrebbe però coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).
b. Le attività principali (cd. core business) del titolare del trattamento o del responsabile del trattamento consistono in processi che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati. Per “attività core” si intende un’operazione necessaria per raggiungere lo scopo, appunto, del titolare o responsabile.
c. Terzo ed ultimo punto: nel caso di trattamento su larga scala di speciali categorie di dati personali o di dati relativi a reati e condanne penali. Il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri quali, ad esempio, il numero di interessati coinvolti, la durata del trattamento e la sua estensione geografica. Tra i trattamenti non su larga scala sono invece compresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato.
Qualora non vi sia obbligo (Art. 37.4 GDPR) il titolare o il responsabile del trattamento possono designare facoltativamente un Responsabile della protezione dei dati riconoscendo il ruolo centrale nella gestione della Data Protection a prescindere dagli obblighi normativi.
Addirittura le linee guida del WP29 incoraggiano le organizzazioni a designare volontariamente un DPO, anche perché è necessario documentare le valutazioni compiute per stabilire se si applica o meno l’obbligo di nomina.
Il DPO, in sostanza, è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa in materia di protezione dei dati e può essere tanto un dipendente quanto un libero professionista.
In merito a questo punto però il Regolamento sottolinea che i suoi compiti e le sue funzioni non devono dar adito a possibili conflitti di interessi: ciò comporta in particolare che il DPO non può mantenere una posizione decisionale in materia, all’interno dell’organizzazione che lo porti a determinare le finalità e gli strumenti del trattamento dei dati personali.
L’art. 37 non specifica le competenze professionali che dovrebbe avere un DPO, tuttavia appare chiaro che il responsabile della protezione dei dati dovrebbe avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, nonché conoscenza del settore di business delle imprese, informatiche e, nel caso di un ente pubblico, dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.
La mole del lavoro e la specifica richieste di così ampie competenze portano a pensare che, nella pratica, il DPO sarà una figura composta da più persone fisiche anziché un unico individuo.