DPO: Data Protection Officier
Chi è il responsabile della protezione dei dati personali (DPO)
Il responsabile della protezione dei dati personali (“RPD”; o anche conosciuto come Data Protection Officer) è una figura prevista dall’art. 37 del regolamento (Ue) 2016/679 (di seguito “RQPD”). Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RQPD
Compiti del DPO / RPD
A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo; cfr. Art. 38, par. 1 del RQPD). Coopera, inoltre, con l’autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali.
Requisiti del responsabile della protezione dei dati personali
Il RPD al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve:
- Deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
- Deve poter offrire, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
- Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento.
- Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) Necessarie per l’espletamento dei propri compiti (art. 38, par. 2 del rgpd).
Soggetti privati obbligati alla designazione del DPO
Sono tenuti alla designazione del RPD il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del RQPD. Si tratta di soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Il diritto dell’unione o degli stati membri può prevedere ulteriori casi di designazione obbligatoria del RPD.
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Designazione non obbligatoria ma opportuna del DPO
Nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del RQPD, la designazione del RPD non è obbligatoria, ad esempio:
- in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala;
- amministratori di condominio;
- agenti, rappresentanti e mediatori non operanti su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Il DPO come soggetto interno o come soggetto esterno
Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni. In entrambi i casi, i soggetti designati devono essere in grado di garantire l’effettivo assolvimento dei compiti che il RQPD assegna a tale figura.
Modalità per la designazione del DPO
L’RPD scelto all’interno andrà nominato mediante specifico atto di designazione (ad es. Lettera d’incarico), mentre quello scelto all’esterno dovrà operare in base a un contratto (cfr. Art. 37, par. 6 del RQPD, ove si fa riferimento al “contratto di servizi”). Tali atti, da redigere in forma scritta, dovranno contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Nell’esecuzione dei propri compiti, il RPD dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento mantengono comunque la piena responsabilità in ordine all’osservanza della normativa in materia di protezione dei dati.
Il DPO deve essere nominato responsabile del trattamento?
No. In ragione dell’autonomia d’azione specificatamente attribuita al medesimo dalla normativa (artt. 38 e 39 del RQPD), non può essere nominato responsabile del trattamento, figura quest’ultima distinta ed espressamente disciplinata dall’art. 28 del RQPD.
Ulteriori adempimenti che il titolare od il responsabile devono porre in essere in occasione della designazione del DPO
Il titolare o il responsabile del trattamento è tenuto a pubblicare i dati di contatto del RPD designato e a comunicarli al garante. Non è necessario pubblicare il nominativo del RPD, purché i relativi dati di contatto consentano che lo stesso sia direttamente e agevolmente raggiungibile (ad es. Per il tramite di un indirizzo e-mail a ciò dedicato).
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’autorità di controllo tramite una procedura telematica ad hoc (https://servizi.gpdp.it/comunicazionerpd/s/), provvedendo, con le medesime modalità, al loro tempestivo aggiornamento.
Compatibilità del ruolo di DPO con altri incarichi
Si, a condizione che non sia in conflitto di interessi.
In tale prospettiva, ove il RPD sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione del ruolo di RPD a soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. Amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. Direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto, potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi.
Il DPO è una persona fisica o può essere anche un soggetto diverso?
Il RQPD prevede espressamente che il RPD possa essere un “dipendente” del titolare o del responsabile del trattamento in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. Inoltre, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti. Qualora il RPD sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica purché sia indicata la persona fisica atta a fungere da punto di contatto con gli interessati e con l’autorità di controllo.
È possibile nominare un unico DPO nell’ambito di un gruppo imprenditoriale
Il RQPD prevede che un gruppo imprenditoriale possa designare un unico RPD, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento. Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo. A tal fine, potrebbe essere buona prassi quella di prevedere che il RPD di gruppo sia assistito da specifici referenti locali individuati presso ciascuna entità in grado di fornire adeguato supporto allo stesso e di fungere da punto di contatto nei confronti dei soggetti interessati e dell’autorità di controllo competente; ciò, ad esempio, al fine di coadiuvare a livello locale la gestione dei reclami degli interessati e l’attività di formazione del personale.
Viceversa, ove non si opti per un unico RPD, al fine di assicurare un efficace coordinamento dei compiti loro assegnati, potrebbe essere valutata l’opportunità di costituire un network dei medesimi, individuando, se del caso, anche una figura di riferimento con funzioni volte a garantire un adeguato raccordo tra gli stessi.
Resta in tutti i casi fermo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’autorità di controllo competente.
