unione europea

Il responsabile della protezione dei dati (altrimenti detto Data Protection Officer, o DPO) è un consulente, esperto e qualificato, che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Il DPO viene introdotto per la prima volta nel nostro ordinamento dal GDPR, ma già diffuso in altri Stati membri, il cui ruolo è da tenere ben distinto da quello del responsabile del trattamento, che, come approfondito nell’apposito articolo già pubblicato, è il soggetto che affianca per compiti e responsabilità il titolare stesso (e proprio per facilitare questa distinzione ed evitare confusione si preferisce, e si è maggiormente diffuso, l’utilizzo del termine inglese Data Protection Officer e del relativo acronimo DPO).

Analizzando meglio la disciplina, emerge che il DPO è una figura che viene nominata dal titolare o dal responsabile del trattamento e che può essere selezionata tra gli stessi dipendenti del titolare del trattamento, oppure può essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.

In ogni caso, come previsto dall’art. 38, commi 1 e 2 del GDPR, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni relative alla protezione dei dati, e pertanto il titolare o il responsabile del trattamento dovranno assicurarsi che abbia a disposizione tutte le risorse (umane ed economiche) necessarie per lo svolgimento dei suoi compiti. Le norme appena richiamate così stabiliscono: “1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

  1. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.

Il DPO, per poter essere nominato, deve poi essere in possesso di alcuni requisiti, in particolare:

  • deve avere un’idonea competenza e conoscenza della normativa e della prassi in materia di gestione dei dati personali, anche con riferimento alle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali. Non è necessario che sia in possesso di attestazioni formali, né che sia iscritto in un apposito albo professionale, ma la frequentazione di un corso di perfezionamento o di un master può essere uno strumento adeguato per dimostrare il raggiungimento di un livello adeguato di conoscenza. Non esistono attualmente delle abilitazioni né delle certificazioni particolari o necessarie: certo, rivolgersi ad un soggetto che possa garantire e dimostrare seriamente una competenza qualificata nella materia è, prima di tutto, interesse dello stesso titolare, sul quale, in ultimo, si ripercuotono le effettive capacità del DPO;
  • deve essere una figura autonoma e indipendente e deve svolgere le sue funzioni in assenza di conflitto di interesse, quindi non potrà essere un soggetto che prende decisioni sulle finalità o sugli strumenti da utilizzare per il trattamento dei dati personali. Tale ruolo non potrà quindi essere svolto da soggetti che si trovano ai vertici di un’azienda e che possono gestire o influenzare le soluzioni e le scelte concretamente adottate in tema di trattamento di dati personali.

Questa indicazione risulta specificata anzitutto dal comma 3 dell’art. 38 del GDPR, laddove è previsto che il DPO non debba ricevere alcuna istruzione relativamente all’esecuzione dei suoi compiti e che si riferisca direttamente ai vertici aziendali, quindi non al titolare o al responsabile del trattamento. La norma prevede infatti: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. In secondo luogo, il comma 6 dell’art. 38 stabilisce che il DPO possa svolgere anche altri compiti e funzioni, ma questi non devono dar luogo a un conflitto d’interessi.

Emerge chiaramente il fatto che il legislatore europeo, attraverso l’introduzione di questa figura professionale specifica, abbia voluto innanzitutto spostare da un soggetto (il titolare o il responsabile del trattamento) ad un altro (il DPO) una serie di compiti in ambito di protezione dei dati personali, ferma restando la responsabilità in capo al titolare del trattamento.

In secondo luogo, attraverso la previsione di questa figura, sarà possibile garantire che un soggetto specializzato ed esperto in materia si occupi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, sui problemi e sulle misure di sicurezza necessarie al fine di garantire un livello di tutela adeguato. Tutto questo è stato stabilito tenendo conto della sempre maggiore diffusione e complessità (e della conseguente attenzione e cautela da dedicare) che il settore della protezione e del trattamento dei dati personali sta avendo, anche in considerazione del ruolo del web, sempre più importante ed invasivo.

Ultimi aggiornamenti

contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]
email garante
Con il provvedimento n. 642 del 21/12/2023 il Garante Privacy ha emanato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati, con cui porta alla luce […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.