DPO: quando e perché nominarlo tra obblighi ed esempi pratici
DPO: quando e perché nominarlo tra obblighi ed esempi praticiSono trascorsi più di cinque anni dall’applicazione del Regolamento Generale sulla Protezione dei Dati, conosciuto come GDPR e da allora sentiamo parlare di DPO quasi fosse una figura mitologica o, ancora, una immateriale, affidata all’astratto mondo della privacy.
Ma chi è il DPO? E quando è obbligatorio dotarsene? Chiariamo insieme la sua figura e analizziamo cosa prescrive la legge.
Chi è il DPO?
Partiremo dalle basi, cioè dal suo acronimo, che sta per “Data Protection Officer”, in italiano “RPD”, cioè “Responsabile della Protezione Dati”. Come riferimento normativo prenderemo in esame gli artt. 37-38-39 del Regolamento 2016/679 (GDPR), nei quali troviamo delineata figura e casi di obbligatorietà.
Si può trattare di una persona fisica (che abbia conoscenze specialistiche della normativa e prassi in materia di protezione dei dati e che sia capace di assolverne i compiti (non deve necessariamente trattarsi di un giurista) o di una persona giuridica, come ad esempio una società, strutturata in un Team variegato di esperti del settore (giuridico, informatico o altro), nominata o designata da titolare e responsabile del trattamento dei dati per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD.
Per capirci: Il DPO funge da punto di contatto tra titolare e responsabile del trattamento dei dati e le Autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi che, nel caso dell’Italia, è il Garante della Privacy. Volendo usare una definizione biologica, i DPO sono
“quelle persone-chiave che non si limitano ad essere autorizzate a trattare dati, ma fungono da ‘neurotrasmettitori’ dei segnali di conformità e non conformità tra il centro e la periferia e viceversa”
(Codice privacy: tutte le novità del d.lgs. 101/2018, Bolognini Luca; Pelino Enrico, 2019, Il civilista).
Attenzione però: che sia persona fisica o giuridica, esso deve essere indipendente. Infatti secondo l’art. 38 del Regolamento, titolare e responsabile del trattamento si limitano a sostenere il DPO fornendogli le risorse necessarie per svolgere il suo ruolo ma si assicurano anche che non riceva alcuna istruzione sull’esecuzione vera e propria. Ciò non significa che il ruolo del DPO non possa essere ricoperto da un dipendente del titolare o del responsabile: in tal caso andrà nominato con specifico atto di designazione.
Vediamo come.
Come avviene la nomina del Responsabile della Protezione dei Dati Personali?
Normalmente la nomina avviene, nel caso in cui il soggetto individuato sia interno, attraverso un atto di designazione (che potrà essere ad esempio una lettera d’incarico), oppure attraverso un contratto di servizi, se esterno. È disponibile un modello di designazione messo a disposizione dal Team di Privacy Studio.
Una volta designato, Titolare e Responsabile del Trattamento dovranno rendere pubblici i dati di contatto del DPO e comunicarli all’Autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi competente. È bene ricordare che l’unico canale utilizzabile per la procedura di comunicazione, variazione e revoca di tali dati di contatto è la procedura online presente sul sito del Garante.
Quando è obbligatorio nominare un Data Protection Officer (DPO)?
Secondo l’art. 37 titolare e responsabile del trattamento devono nominare un DPO quando:
- l’organizzazione è una pubblica autorità o un organismo pubblico (ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (dove per monitoraggio regolare e sistematico possiamo intendere, per ora e per esemplificare, trattamenti che avvengono in intervalli di tempo costanti o predefiniti; per larga scala trattamenti che potrebbero incidere su un vasto numero di interessati);
- le attività principali di titolare e responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In quali altri casi è obbligatorio nominarne uno?
Altresì sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:
- concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.);
- imprese assicurative;
- società di informazioni commerciali;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- istituti di vigilanza;
- sindacati; caf e patronati;
- imprese di somministrazione di lavoro e ricerca del personale;
- società che forniscono servizi informatici.
L’elenco completo è disponibile qui (FAQ3).
Se non rientro tra i casi obbligatori, devo nominare un DPO?
No, ma, best practice o consiglio per i non addetti ai lavori è quello di designarne uno. In questo modo, oltre a strutturare l’organizzazione sulla base della responsabilizzazione, saremo sicuri di avere un punto di riferimento che ci avvicina al Garante della Privacy.
E, se tutte le strade portano a Roma (n.b.: il Garante della Privacy ha sede a Roma), meglio raggiungere le Autorità di Controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi in via preventiva.
