DPO

di Roberto Louhichi

“DPO” è l’acronimo di “Data Protection Officer” o, tradotto, “Responsabile della protezione dei dati personali”. In via generale, il DPO è una figura di supporto al titolare ed al responsabile del trattamento in tutte le questioni riguardanti la protezione dei dati personali trattati da quest’ultimi.

La nomina di un DPO è obbligatoria solo nei seguenti casi: (i) il trattamento è effettuato da un’autorità pubblica, ad eccezione delle autorità giurisdizionali per i trattamenti nell’esercizio delle loro funzioni giurisdizionali; (ii) le attività di trattamento del titolare/del responsabile del trattamento richiedono un monitoraggio sistematico degli interessati su larga scala, o (iii) le attività di trattamento del titolare/del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (Art. 9 GDPR) o di dati relativi a condanne penali e a reati (Art. 10 GDPR). Fuori da questi casi, la nomina di un DPO è facoltativa.

Il DPO può essere sia una persona fisica/un ufficio esterno all’organizzazione del titolare/del responsabile del trattamento o un dipendente. In tutti i casi, il DPO deve godere di autonomia nell’esercizio delle sue funzioni, non essere in conflitto di interesse ed avere a disposizione un budget adeguato a poter effettuare le proprie attività. Nei casi di gruppi di società, il DPO può anche essere unico per tutto il gruppo, a patto che sia facilmente raggiungibile da ogni stabilimento del gruppo di imprese.

Il titolare/responsabile del trattamento è tenuto a designare un DPO in funzione delle qualità professionali del candidato, con particolare riferimento alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dal GDPR. Non è richiesta alcuna certificazione e/o iscrizione ad un albo per l’esercizio della funzione di DPO, essendo previsto solamente che il suo nominativo sia inviato all’autorità di controllo.

Al fine di agevolare i DPO nell’esercizio della loro funzione, il Garante ha pubblicato un manuale con le linee guida principali che un DPO deve osservare. 

Il DPO deve essere incaricato almeno dei seguenti compiti (a) informare e fornire consulenza al titolare/al responsabile del trattamento, nonché ai dipendenti di questi ultimi che effettuino operazioni di trattamento, sugli obblighi previsti dalla normativa della protezione dei dati; (b) sorvegliare l’osservanza del GDPR nell’organizzazione in cui è inserito, effettuando tutte le attività di controllo connesse; (c) fornire un parere sulla valutazione di impatto, se richiesto; (d) cooperare con l’autorità di controllo e fungere da punto di contatto per quest’ultima relativamente a tutte le questioni connesse al trattamento dei dati.

Oltre ad essere un punto di contatto per l’autorità di controllo, il DPO è anche un punto di riferimento per gli interessati, che possono rivolgersi a questa figura per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal GDPR. Per questa ragione, è previsto che l’informativa privacy del titolare/del responsabile contenga anche i dati di contatto del DPO.

Il DPO non è responsabile per l’adempimento degli obblighi previsti dal GDPR in capo al titolare e al responsabile del trattamento. Questo significa che gli unici soggetti che le autorità di controllo possono sanzionare in caso di mancato adempimento degli obblighi del GDPR sono il titolare ed il responsabile del trattamento, anche nei casi in cui questi ultimi abbiamo seguito le indicazioni errate del DPO. Nei casi di DPO esterno, il contratto di servizi può comunque prevedere clausole di rivalsa.

La mancata nomina del DPO, così come la violazione di uno dei requisiti previsti per l’attribuzione o l’esercizio della funzione, è sanzionabile con un importo fino a 10 milioni di euro o al 2% del fatturato.

Di seguito, indichiamo gli articoli correlati. Art. 37 GDPR - Designazione del responsabile della protezione dei dati; Art. 38 GDPR - Posizione del responsabile della protezione dei dati; Art. 39 GDPR - Compiti del responsabile della protezione dei dati; Art. 82 GDPR - Diritto al risarcimento e responsabilità; Art. 83 GDPR - Condizioni generali per infliggere sanzioni amministrative pecuniarie.