Chi è il DPO? Quali sono i suoi compiti in azienda e quando è previsto?

In attesa della definizione a livello normativo, il Garante per la Protezione dei Dati Personali ha rilasciato una scheda informativa che vuole sintetizzare una figura che, nel prossimo futuro, diverrà centrale: il Responsabile della protezione dei dati personali (Data Protection Officer – DPO).

Come abbiamo già sottolineato, si tratta di una funzione in costruzione prevista e valorizzata nel prossimo Regolamento Europeo. La scheda del Garante presenta il DPO come definito nella proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. La normativa, in fase di definizione, potrebbe in parte modificarne le caratteristiche.

Non si tratterà, stando all’attuale proposta, di un obbligo per tutte le imprese, anche se la possibilità di designarlo rimane un’opzione percorribile per tutti. Al momento, un Responsabile della protezione dei dati personali, dovrà essere designato in:

• Amministrazioni ed enti pubblici.
• Imprese con 250 o più dipendenti.
• Tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.

I requisiti

Uno dei primi requisiti che deve possedere è la conoscenza adeguata della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera. Il suo incarico, rinnovabile, avrà una durata di almeno due anni e sarà compito del titolare o del responsabile del trattamento mettere a disposizione del DPO risorse umane e finanziarie che gli consentano di adempiere ai suoi compiti.

Un requisito chiave, che ha tuttavia suscitato discussioni e perplessità, è il poter svolgere il proprio operato in piena indipendenza ed in assenza di conflitti di interesse nello svolgimento del suo compito di controllo e vigilanza.

Alcuni Garanti degli Stati membri hanno espresso preoccupazione rispetto alla possibilità che il DPO possa essere vittima di mobbing da parte del CEO o del management, creando interferenze e condizionandone le decisioni. Questo dubbio sorge dal fatto che, oltre che con un contratto di servizio, il DPO possa essere un dipendente del titolare stesso dell’azienda sulla quale deve vigilare.

Cosa farà il Responsabile della protezione dei dati personali?

Innanzi tutto sarà sua responsabilità fare in modo che titolare e responsabile del trattamento siano sempre aggiornati su adempimenti e aggiornamenti normativi previsti dal Regolamento Europeo, conservando tutta la documentazione relativa, risposte ricevute comprese.

Verificherà l’attuazione e l’applicazione del Regolamento europeo, soprattutto in riferimento a due dei pilastri della normativa comunitaria: protezione della privacy fin dalla sua progettazione (privacy by design) e protezione di default di dati e sistemi (privacy by default). Sicurezza dei dati e riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento, rientrano nei suoi ambiti di verifica e monitoraggio; allo stesso modo dovrà assicurarsi che titolare o responsabile del trattamento effettuino la valutazione d’impatto sulla protezione dei dati e richiedano l’autorizzazione preventiva o la consultazione preventiva nei casi previsti.

Sarà compito del DPO garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare, nonché controllare che le violazioni dei dati personali siano documentate, notificate e comunicate. Dovrà inoltre vigilare sull’attuazione e sull’applicazione delle politiche scelte in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale coinvolto e gli audit connessi.

Oltre a tali incombenze di controllo e verifica, nell’idea del legislatore, diverrà il punto di contatto per il Garante per la protezione dei dati personali che potrà, ritenendolo necessario, consultare anche di propria iniziativa.

La scheda del Garante