Regolamento Privacy - Garante: identikit del DPO
Il 15 dicembre 2017, l’Autorità Garante per la protezione dei dati personali (“Garante”) ha pubblicato sul proprio sito web le FAQ (Frequently Asked Question) relative al ruolo di Responsabile della Protezione dei Dati (“RPD” o “DPO” nella versione inglese).
La figura del DPO, introdotta dal Regolamento (UE) 2016/679 (“Regolamento”), ha un ruolo centrale nell’ambito della nuova disciplina europea in materia di dati personali.
Il Gruppo di Lavoro ex articolo 29 (“Garante Europeo”), con il parere 243/2016, emendato il 4 aprile del 2017, ha chiarito alcuni aspetti operativi della disciplina in oggetto, fornendo delle linee guida interpretative per l’applicazione della medesima.
Il presente contributo ha l’obiettivo di evidenziare le segnalazioni più rilevanti del Garante nazionale contenute nelle FAQ.
Tra le risposte del Garante alle domande più frequenti sul DPO, rilevano le seguenti:
a. il DPO, se nominato tra i soggetti interni all’azienda, dovrebbe preferibilmente essere scelto tra le figure apicali dell’impresa. Pertanto, è auspicabile che il ruolo del DPO sia attribuito a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione;
b. l’atto di nomina del DPO può assumere la forma di atto di designazione puro, se il ruolo è svolto da soggetto interno all’azienda, ovvero di atto di designazione integrato in un contratto di servizi, se svolto da soggetto esterno all’azienda;
c. indipendentemente dalla forma di designazione scelta dal Titolare, la persona fisica nominata come DPO deve essere inequivocabilmente individuata, riportando l’atto di designazione: le generalità, i compiti e le funzioni che sarà chiamato a svolgere, nonché le motivazioni che hanno spinto il titolare o il responsabile del trattamento a selezionare tale soggetto, eventualmente anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuate;
d. il DPO è unico, pertanto, non è possibile, per il medesimo titolare del trattamento, nominare più DPO. L’unicità di tale figura risponde alle esigenze di autonomia e indipendenza prescritte dal Regolamento, oltre a evitare sovrapposizioni o incertezze in merito alle responsabilità;
e. il Regolamento consente l’attribuzione al DPO di compiti e funzioni ulteriori rispetto a quelli per i quali deve essere designato, purché tali attribuzioni non diano adito ad un conflitto di interessi e permettano, comunque, al DPO di avere il tempo necessario per lo svolgimento dei compiti e delle funzioni tipiche. Ai fini della valutazione della sussistenza di un conflitto di interessi in capo al DPO, il Garante ha specificato che tale circostanza può sussistere rispetto alle figure apicali dell’organizzazione che siano dotate di poteri decisionali in ordine alle finalità e ai mezzi del trattamento dei dati personali, quali, a titolo esemplificativo, i responsabili dei sistemi informativi.
Come specificato nel parere del Garante Europeo, il Regolamento non richiede alcun titolo abilitativo per lo svolgimento del ruolo di DPO, pertanto, ferme restando le certificazioni rilasciate da enti privati a seguito della partecipazione a corsi formativi, la valutazione dei requisiti necessari allo svolgimento dei compiti e delle funzioni di DPO è sempre rimessa al titolare del trattamento.
(le FAQ sono consultabili sul sito del Garante cliccando qui)
