Il data protection officer è la figura, introdotta dal GDPR del 2016, preposta alla verifica dell’applicazione della normativa in materia di protezione dei dati personali. La sua presenza è obbligatoria solamente in alcuni casi, ma sempre consigliata. Tutto quello che c’è sa sapere sulla nomina DPO

Dal 2016, con l’introduzione in Europa del GDPR, il regolamento generale sulla protezione dei dati personali, nelle aziende pubbliche e private esiste una nuova figura professionale: il DPO – data protection officer, in italiano responsabile della protezione dei dati. Un “supervisore” che verifica l’applicazione all’interno dell’azienda le attività di trattamento dei dati personali dal punto di vista tecnico e legale. La presenza di questa figura professionale è sempre consigliata, ma in alcuni casi è obbligatoria per legge. Vediamo allora come funziona la nomina DPO e quali aziende devono nominare DPO obbligatoriamente.

Chi è il data protection officer

Prima di passare al discorso sulla nomina, ricordiamo brevemente quali sono i compiti del DPO, elencati nell’articolo 39 del GDPR:

1. “Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento;
2. sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
4. cooperare con l’ autorità di controllo;
5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento”.

Il DPO viene quindi nominato per svolgere funzioni consultive e di controllo, ma anche formative e informative, sulla materia di protezione dei dati. Collabora con l’Autorità Garante ed è un punto di contatto per chiunque abbia dubbi sui trattamenti dei dati personali.

Da chi è nominato il DPO

Il DPO si configura come un professionista assunto dall’azienda internamente o in qualità di consulente. La designazione del DPO avviene quindi da parte del datore di lavoro, nelle imprese private, o tramite le modalità previste dalla legge per quanto riguarda il settore pubblico. Le aziende private possono decidere se assumere il DPO internamente, in qualità di dipendente, oppure se avvalersi di un consulente esterno. Nel primo caso per il data protection officer sarà più facile entrare nelle logiche aziendali e seguirne i processi. Allo stesso tempo, dovrà fronteggiare una posizione complessa in cui è più difficile mantenere la totale autonomia e l’assenza di conflitto di interessi che lo contraddistinguono.

Nel caso in cui il DPO venga scelto tra i dipendenti aziendali, dovrà essere nominato tramite uno specifico atto di designazione. Nel caso in cui si scelga invece un professionista esterno bisognerà predisporre un contratto di servizi (il DPO esterno può essere anche una persona giuridica). In ogni caso, come avviene per ogni contratto, l’atto di nomina deve essere redatto per iscritto. Una volta designato, il nominativo del DPO e le informazioni relative al suo contratto devono essere comunicati formalmente all’ autorità di controllo. La nomina del DPO, di per sé, non priva il titolare delle proprie responsabilità. Il titolare o il responsabile restano comunque responsabili dell’osservanza della normativa.

DPO obbligatorio per quali aziende

La nomina del DPO è sempre consigliata, ma è obbligatoria per alcune categorie di aziende e di attività. Ne parla nello specifico l’articolo 37 del GDPR, precisando chi deve avere il DPO: tutte le aziende del settore pubblico (ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni) e le aziende del settore privato, in alcuni casi. Ovvero, quando il titolare effettua trattamenti che comportano il “monitoraggio regolare e sistematico” degli interessati su larga scala o trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Approfondiamo meglio la casistica delle aziende private in cui il DPO deve essere nominato obbligatoriamente.

Nomina DPO obbligatoria nelle aziende private

Abbiamo visto che l’obbligo di designare un DPO riguarda le aziende che praticano un monitoraggio regolare e sistematico dei dati su larga scala. Questa espressione non permette di definire in modo quantitativo e ben definito una soglia oltre la quale scatta l’obbligo. Si tratta però di una indicazione che fa rientrare nell’obbligatorietà della nomina alcune categorie di aziende nelle quali si utilizzano quotidianamente i dati privati di molte persone.

Tra queste ricordiamo le banche, le assicurazioni e le società finanziarie, gli istituti di vigilanza, i partiti, i movimenti politici e i sindacati, i caf e i patronati. E ancora, tutte le imprese che operano nei settori delle telecomunicazioni, della distribuzione di energia elettrica o gas. Le società di somministrazione di lavoro e ricerca del personale, le imprese che operano nell’ambito della cura della salute e della prevenzione e diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione. Infine, l’obbligo ricade sulle aziende di call center e sulle società operanti nel settore della fornitura di servizi informatici o che offrono servizi televisivi a pagamento.

Questo elenco ha carattere esemplificativo, e non include ogni possibile azienda che rientri nei caratteri di obbligatorietà per quanto riguarda la designazione del DPO. È stato lo stesso Garante a precisarlo nelle FAQ rilasciate a integrazione della normativa europea in materia.

Nomina responsabile protezione dati nelle pubbliche amministrazioni

Il Garante ha specificato anche che quando il DPO viene scelto all’interno dell’ente pubblico, deve essere individuato tra dirigenti o funzionari di elevata professionalità. Questo per garantire la presenza della competenze necessarie e per facilitare il dialogo con i vertici della pubblica amministrazione in questione. Allo stesso tempo bisogna valutare che la persona designata possa svolgere questo compito in completa autonomia. Dunque le sue funzioni in qualità di DPO devono essere compatibili con le mansioni previste dal suo ruolo. Ricordiamo infatti che il data protection officer non deve ricevere istruzioni da nessuno.

Nell’atto di nomina è necessario indicare anche le motivazioni che hanno portato l’ente ad assegnare questo incarico a una determinata persona. Nelle pubbliche amministrazioni di grandi dimensioni il Garante sconsiglia di attribuire tale ruolo a un dirigente che già abbia in carico numerose responsabilità. Altrimenti, non avrebbe modo e tempo di svolgere la sue funzioni di verifica e supervisione.

Nomina DPO: come diventare data protection officer

Il Garante ha precisato infine che non esistono certificazioni ufficiali né albi ai quali iscriversi per essere nominati DPO. Non è prevista, insomma, un’abilitazione. Sicuramente chi voglia rivestire questo ruolo deve avere competenze verificabili in ambito giuridico, con una formazione specifica sulla materia della privacy. Allo stesso tempo, deve sapersi muovere molto bene in ambito informatico, dove si presenta la maggior parte delle criticità su questo argomento. Deve poi saper portare avanti la sua attività in completa indipendenza e autonomia: si tratta quindi di una professione molto delicata e complessa.