Una delle figure più importanti nell’ambito della protezione dei dati personali è certamente il Responsabile della Protezione dei Dati (RPD), meglio noto nell’acronimo di lingua inglese DPO (Data Protection Officer).
Chi è il DPO?
Il Responsabile della Protezione dei Dati è un soggetto autonomo e indipendente nei confronti dell’azienda insignito di funzioni di supporto, controllo, consultazione, formazione e informazione per quanto attiene alla corretta applicazione del GDPR.
Una volta designato, il DPO svolge i suoi compiti fungendo da punto di contatto e di raccordo con gli interessati e con l’Autorità Garante per la Protezione dei Dati personali; dato il suo ruolo molto importante, deve essere selezionato con metodo e tra soggetti dotati di adeguate competenze specialistiche, ovvero competenze professionali trasversali in ambito giuridico, informatico e di risk management, nonché soft skill che consentano di rivestire tale ruolo al meglio.
L’autonomia e l’indipendenza del responsabile della protezione dei dati
La centralità del ruolo si evince non solo dai compiti affidati al DPO o dalla necessità che lo stesso sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, ma anche dal sistema di tutele volte a preservarne l’autonomia e l’indipendenza.
Per poter svolgere il proprio incarico nel pieno rispetto del GDPR, il DPO deve:
- essere dotato delle risorse consone allo svolgimento del suo ruolo (personale, locali, attrezzature, ecc.);
- essere libero di adempiere al suo compito nei modi ritenuti più opportuni, senza ricevere alcun tipo di istruzioni da parte dell’azienda;
- essere esente da alcun tipo di penalizzazione o, peggio, rimozione dal suo ruolo a causa dello svolgimento dei suoi compiti;
- garantire di non trovarsi in una situazione di conflitto di interessi con l’azienda.
Il DPO deve essere un soggetto interno oppure un soggetto esterno all’azienda?
Il ruolo del DPO può essere ricoperto sia da un soggetto interno sia da uno esterno all’azienda.
L’unico vincolo comune a entrambe le ipotesi (in aggiunta alle conoscenze specialistiche, capacità professionali e qualità professionali che deve dimostrare di possedere) è dato dalla necessità di garantire l’assenza di un potenziale conflitto di interessi con la società.
Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del DPO il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del RGPD. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di core business) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali.
Nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del RGPD, la designazione resta comunque vivamente raccomandata, anche alla luce del principio di accountability che permea il RGPD (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala; amministratori di condominio; agenti, rappresentanti e mediatori non operanti su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti).