Il Data Protection Officer (DPO), tradotto nella versione italiana del Regolamento UE 2016/679 “GDPR” in Responsabile per la Protezione dei Dati (RPD), da non confondere con il Responsabile del Trattamento, è una figura introdotta dal regolamento europeo in materia di protezione dei dati personali (art. 37 GDPR).
La presenza di questa figura nell’organigramma privacy rappresenta il nuovo approccio del GDPR, maggiormente responsabilizzante verso le aziende che effettuano trattamenti di dati personali, finalizzato a facilitare l’attuazione del regolamento da parte dei soggetti coinvolti.
Lo scopo del DPO non è tutelare gli interessi del titolare del trattamento, bensì tutelare gli interessati coinvolti e, di conseguenza, i loro dati trattati.
Requisiti del DPO
Il DPO deve possedere una serie di requisiti che sintetizziamo di seguito:
- Adeguata conoscenza delle normative vigenti in materia di protezione dei dati personali;
- Adeguata conoscenza in merito alla gestione dei dati personali, comprese le misure di sicurezza da adottare a tutela degli stessi;
- Capacità di adempiere alle proprie funzioni in piena autonomia e indipendenza;
- Assenza di conflitti di interesse: non può ricoprire altri ruoli ai vertici aziendali (AD, Titolare, membro del CDA, ecc.);
- Non può essere rimosso o penalizzato dall’azienda per l’adempimento dei propri compiti;
- Può essere una figura interna (dipendente) o esterna (professionista o società specializzata);
- Deve disporre di adeguate risorse per operare.
Quando e come nominare il DPO
La designazione del DPO deve essere comunicata all’Autorità di controllo — in Italia, il Garante per la Protezione dei Dati Personali — tramite apposita procedura online.
I casi di obbligatorietà previsti dall’art. 37 GDPR
La nomina è obbligatoria nei seguenti casi:
- Per le amministrazioni e gli enti pubblici, quali ad esempio organismi amministrativi, no-profit, autorità locali, università, Camere di Commercio, Agenzie di salute pubblica, ecc.;
- Quando il trattamento richiede il monitoraggio regolare e sistematico degli interessati su larga scala, come i trattamenti svolti da ospedali, pubblicità profilata, gestione di tessere fedeltà, geolocalizzazione, videosorveglianza massiva, ecc.;
- Quando l’attività principale consiste nel trattamento su larga scala di dati particolari (dati sanitari, giudiziari, biometrici).
L’elenco del Garante per le aziende private
Per semplificare l’individuazione dei casi di obbligatorietà, il Garante ha pubblicato un elenco esemplificativo e non esaustivo di attività per le quali la nomina del DPO risulta obbligatoria, indipendentemente dalle dimensioni dell’azienda:
- concessionari di servizi pubblici;
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- CAF e patronati;
- società operanti nel settore delle utilities (energia elettrica o gas, telecomunicazioni, ecc.);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione e diagnostica sanitaria (ospedali privati, terme, laboratori di analisi mediche, centri di riabilitazione);
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
La valutazione scritta raccomandata dal Garante
Il Garante raccomanda di effettuare una valutazione scritta in merito all’obbligo o meno di nominare il DPO. Anche quando l’obbligo non sussiste, documentare le motivazioni della scelta di non nominare un DPO è parte del principio di accountability previsto dal GDPR.
Sanzioni per mancata nomina
La mancata nomina del DPO, quando obbligatoria, può comportare l’applicazione di una sanzione fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo globale dell’esercizio precedente (art. 83, par. 4 GDPR).
Nomina del DPO con Ecloga Italia
Ecloga Italia supporta le aziende clienti attraverso la nomina di un DPO esterno. Il servizio comprende:
- Sopralluogo presso le sedi del cliente svolto dal DPO, per fornire consulenza al Titolare e al Responsabile del Trattamento in merito agli obblighi derivanti dal Regolamento UE 2016/679;
- Invio della Nomina al Garante per la Protezione dei Dati Personali tramite la procedura ufficiale;
- Redazione della documentazione GDPR in conformità normativa;
- Sorveglianza dell’osservanza del Regolamento da parte del Titolare e del Responsabile del Trattamento;
- Pareri in materia di DPIA (valutazione d’impatto) e supervisione del suo svolgimento;
- Cooperazione con l’Autorità di controllo, fungendo da punto di contatto per questioni connesse al trattamento, con particolare riguardo alle attività di consultazione preventiva.