DPO: chi è e cosa fa
Chi è il DPO
Il DPO è un consulente in materia di privacy, che in alcune realtà deve essere obbligatoriamente nominato mentre in altre risulta solo facoltativo. Si occupa di affiancare il titolare del trattamento, gli addetti e i responsabili nella corretta gestione della privacy, in conformità alla normativa entrata in vigore nel 2018 (vai alla guida GDPR: tutto quello che c'è da sapere), supportandoli nella soluzione delle diverse questioni tecniche e legali.
Acronimo
La sigla DPO è l'acronimo di Data Protection Officer.
In Italia, talvolta tale soggetto è denominato anche RDP, ovverosia Responsabile della Protezione dei Dati.
DPO: compiti
I compiti del DPO sono indicati nell'articolo 39 del GDPR.
Informazione e consulenza
Innanzitutto, il responsabile della protezione dei dati è tenuto a informare il titolare o il responsabile del trattamento e i dipendenti che eseguono il trattamento medesimo degli obblighi sugli stessi gravanti in forza del Regolamento europeo in materia di privacy e delle altre eventuali disposizioni UE o nazionali relative alla protezione dei dati (in Italia, quindi, dal codice privacy, così come di recente adeguato. Leggi GDPR: ecco la privacy all'italiana). Sulle medesime materie, il DPO è anche tenuto a fornire consulenza.
Sorveglianza
Il responsabile della protezione dei dati deve poi sorvegliare sull'osservanza del GDPR e delle altre eventuali norme UE o nazionali in materia di privacy. Il suo controllo si estende anche al rispetto delle politiche del titolare o del responsabile del trattamento circa la protezione dei dati personali, tra cui "l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo".
Ulteriori compiti
Infine, sempre in base a quanto disposto dall'articolo 39 del GDPR, il DPO deve:
- fornire l'eventuale parere che gli venga richiesto circa la valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento,
- cooperare con l'autorità di controllo,
- porsi come punto di riferimento per l'autorità di controllo per tutte le questioni connesse al trattamento ed effettuare, ove necessario, consultazioni relative a qualunque altra questione.
Nello svolgere tutti i predetti compiti, il DPO tiene conto del contesto nel quale è nominato, del livello di consapevolezza in materia di privacy del suo interlocutore e della natura dei dati da questo trattati e adegua a tali parametri la sua attività.
Chi nomina il DPO
In concreto, la nomina del DPO è affidata al titolare del trattamento, che vi provvede scegliendolo tra i suoi dipendenti o affidandosi a un consulente esterno, sulla base di un contratto di servizi.
A tal proposito, leggi Privacy: quanto costa il DPO?
Requisiti
Gli unici (ma fondamentali) requisiti richiesti al responsabile della protezione dei dati sono il possesso di una conoscenza specialistica della normativa in materia di privacy e delle relative prassi e la capacità di assolvere i compiti che gli sono affidati dal GDPR.
A tal fine sono stati istituiti degli specifici corsi di formazione per DPO, il cui svolgimento, tuttavia, non costituisce un requisito indispensabile per ricoprire tale compito.
Leggi:
- Privacy: il Dpo e le nuove opportunità per gli avvocati
- Privacy: i requisiti per diventare Dpo
Unico DPO
All'interno di un gruppo imprenditoriale è possibile nominare anche un solo DPO, purché questi sia facilmente raggiungibile da ciascuno stabilimento. Anche più autorità pubbliche o organismi pubblici possono nominare un unico responsabile, tenuto conto della propria struttura organizzativa e della propria dimensione.
DPO obbligatorio
Si è detto che la nomina del DPO, in alcuni casi, è facoltativa mentre, in altri, è obbligatoria.
L'obbligo di nominare il responsabile della protezione dei dati sussiste quando:
- il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, ad eccezione delle ipotesi in cui si tratti di autorità giurisdizionali nell'esercizio delle proprie funzioni;
- il titolare o il responsabile del trattamento svolga delle attività principali che, per la loro natura, per il loro ambito di applicazione e/o per la loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- il titolare o il responsabile del trattamento svolga delle attività principali che comportano il trattamento su larga scala di categorie particolari di dati personali (come, ad esempio, quelli che rivelino l'origine razziale o etnica o le opinioni politiche, quelli relativi alla salute o alla vita sessuale e così via) o dati relativi a condanne penali o a reati.
In tutti gli altri casi, la nomina del DPO è facoltativa.
Leggi:
- Privacy: chi è obbligato alla nomina del Dpo?
- Gdpr: avvocati esonerati dall'obbligo di nomina del Dpo
- Gdpr: il responsabile della protezione privacy nel pubblico
- Gdpr: il responsabile della protezione privacy nel privato
DPO scuole
Tra i soggetti tenuti a nominare il DPO rientrano, quindi, anche le scuole, per le quali tale figura assume un ruolo di particolare rilievo, considerato sia la tipologia e il volume dei dati trattati, sia la loro qualità, sia, soprattutto, la circostanza che gli stessi riguardano per la quasi totalità dei casi dei soggetti minorenni.
Proprio in ragione di ciò, molti istituti si sono dotati di DPO esterni, ma non mancano quelli che hanno preferito formare un docente e assegnargli tale compito, dando maggiore valore alla conoscenza specifica della realtà scolastica di riferimento.
Autore: Valeria Zeppilli