Data Protection Officer: chi è, cosa fa e come diventarlo

Il DPO, Data Protection Officer, è una figura di rilievo introdotta dal GDPR. In questo articolo vediamo quali sono i suoi compiti e requisisti, quando viene designato e in quali casi è obbligatoria la sua nomina.

Chi è il DPO, Data Protection Officer

Tra le maggiori novità del Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) rientra sicuramente la figura del Data Protection Officer. Il DPO, o Responsabile della Protezione dei Dati, è una figura di indubbio rilievo le cui competenze non sono state ancora chiarite nel modo migliore dagli organi comunitari.

Nella traduzione italiana del Regolamento Europeo sulla Protezione dei Dati, questo soggetto è stato definito come il Responsabile della Protezione dei Dati. Ovvero il soggetto che ha la responsabilità tecnica di dare consigli e vigilare su temi afferenti alla protezione dei dati personali.

DPO, Data Protection Officer: quali requisiti deve avere

Il DPO è designato in funzione delle qualità professionali. In particolare:

• della conoscenza specialistica della normativa,
• delle pratiche in materia di protezione dei dati,
• della capacità di adempiere ai propri compiti.

Il DPO è una figura di alto livello professionale. Può essere un dipendente del titolare del trattamento o del responsabile del trattamento; oppure può adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Data Protection Officer: cosa fa

Il DPO, ovvero il Responsabile della Protezione dei Dati, deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Questo sia dal titolare del trattamento che dal responsabile del trattamento.
Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative a:

• trattamento dei loro dati personali
• esercizio dei loro diritti derivanti dal Regolamento.

Il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Il Regolamento specifica inoltre (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

La nomina del DPO è obbligatoria?

In base all’articolo 37, primo paragrafo, del Regolamento, la nomina di un DPO è obbligatoria in tre casi specifici:

• se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
• se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
• se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Al fine di l’osservanza del Regolamento e il rispetto del principio di privacy (e protezione dati) fin dalla fase di progettazione, è bene assicurare il tempestivo e immediato coinvolgimento del DPO, tramite la sua informazione e consultazione fin dalle fasi iniziali. Questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile.

Chi nomina il Data Protection Officer

Sempre per quanto riguarda la nomina di un DPO, l’art. 37 del Regolamento non distingue fra titolari e responsabili del trattamento in termini di sua applicabilità. A seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare ovvero il solo responsabile, oppure sia l’uno sia l’altro a dover nominare un DPO; questi ultimi saranno poi tenuti alla reciproca collaborazione.

La presenza del DPO nelle organizzazioni

E’ importante che il DPO sia annoverato fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento.

Ciò significa che occorrerà garantire, per esempio:

• che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
• la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
• che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccordi, il WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
• che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.

Quali sono i compiti del DPO

L’art. 39 del GDPR individua i compiti del DPO:

• informare e fornire consulenza al:
  – titolare del trattamento;
  – responsabile del trattamento;
  – dipendenti che eseguono il trattamento;
   in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

• sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
• cooperare con l’autorità di controllo;
• fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento; tra queste la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Quali sono gli obblighi del DPO

Naturalmente non esistono delle regole uniche; ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione.

• Conoscere tutti gli aspetti organizzativi dell’azienda o ente. Il DPO deve necessariamente analizzare ed approfondire il core business dell’azienda o comunque i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento.
• Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules).
• Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente.
• Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie.
• Analizzare l’impatto delle nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di un DPIA. Siamo di fronte ad una della attività più importanti disciplinate dal Regolamento europeo per la quale oltre ai vari suggerimenti delle autorità garanti (v. linee guida del 4 aprile 2017) è stata predisposta una specifica norma internazionale. Si tratta della ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology
• Aiutare il titolare del trattamento nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento.
• Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi.
• Supportare il titolare del trattamento nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati.
• Aiutare il titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni.
• Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO.
• Curare i rapporti con l’Autorità Garante su tutte le tematiche che dovessero investire l’azienda o l’ente in materia di privacy.
• Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

Come diventare Data Protection Officer?

Il responsabile della protezione dei dati personali è una figura obbligatoria in tutte le istituzioni comunitarie.

Il regolamento, infatti, prescrive la presenza obbligatoria di un responsabile per la protezione dei dati in enti pubblici e privati che trattano dati critici o su larga scala. Il ricorso a soggetti in grado di poter assumere le responsabilità previste, oltre a consentire alle aziende interessate di adempiere ad un obbligo ora in vigore anche in Italia, rappresenta per tali soggetti una valorizzazione a livello professionale ed organizzativo, che favorirà una nuova prestigiosa collocazione nel mondo del lavoro, in Italia ed in Europa.

Per certificarsi come DPO ti suggeriamo:

Corso DPO – Profili professionali relativi al trattamento e alla protezione dei dati personali

Il percorso formativo articolato per le figure professionali indicate dalla nuova Norma UNI 11697:2017, composto da tre moduli per una durata complessiva di 80 ore, come definito dalla norma stessa. Norma che indica nel dettaglio le conoscenze, le competenze e i compiti istituzionali di tali profili.

Sulla Protezione dei Dati Personali consulta i seguenti articoli

Protezione e trattamento dei dati personali: i profili professionali

La normativa per il trattamento dei dati sensibili

Il Responsabile del Trattamento Dati Personali

Il Titolare del Trattamento Dati Personali

Consulta i volumi di EPC Editore

I profili professionali nella protezione dei dati personali

Una lettura critica e ragionata della norma 11697 coordinata con le novità del Reg. 2016/679 sulla protezione dei dati che esamina gli aspetti di maggiore rilevanza connessi alle nuove figure professionali nascenti.

Corso di formazione in materia di protezione dei dati

Un corso di formazione in materia di protezione dei dati conforme al Regolamento (UE) 2016/679 e al d.lgs. 101/2018: 158 diapositive complete di note per il docente

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore