Nell’ambito della normativa europea sulla privacy, il Data Protection Officer (DPO) - ovvero responsabile della protezione dei dati nei documenti di legge italiani - è il professionista che deve essere scelto dall’organizzazione responsabile del trattamento per interfacciarsi con il Garante. La regolamentazione della sua nomina viene trattata nello specifico all’interno dell’articolo 37 del GDPR.
Nonostante il nuovo Regolamento sia entrato pienamente in vigore, non tutti hanno le idee ben chiare in merito all’introduzione di questa nuova figura chiave nei processi di data protection aziendale: quali enti sono obbligati a nominarne uno? E di cosa deve occuparsi, in concreto, il Data Protection Officer? Ecco un riscontro rapido ma esaustivo rispetto ai dubbi più frequenti in merito al ruolo e ai compiti del responsabile della protezione dei dati.
Nell’articolo 39 del GDPR viene specificato che il responsabile della protezione dei dati, oltre a interfacciarsi e cooperare con l'autorità di controllo in merito a questioni relative al trattamento dei dati, è chiamato a:
Come specificato nell’articolo 37 del GDPR, tra gli enti interessati dalla normativa, l’obbligo di nominare un responsabile della protezione dei dati è valido per:
Il legislatore non richiede al responsabile della protezione dei dati personali né una specifica attestazione né l’iscrizione ad alcun albo professionale. Di contro, però, questo esperto deve possedere - oltre ovviamente a una puntuale conoscenza del GDPR - approfondite competenze giuridiche in materia di privacy e delle prassi amministrative, familiarità con le tecnologie informatiche e relative misure di data protection, conoscenza dello specifico comparto di riferimento dell’organizzazione ed evidenti capacità di farsi attivo promotore di una cultura aziendale rivolta alla protezione dei dati.
Si tratta quindi di una figura altamente specializzata che è chiamata a offrire una consulenza specifica su una materia estremamente complessa. Il DPO - come specificato al punto 39 del GDPR - deve inoltre poter operare in maniera indipendente (a prescindere dal fatto che sia o meno un dipendente dell’organizzazione per cui presta consulenza) senza essere obbligato a sottostare ad alcuna direttiva impartita dai dirigenti aziendali.
Il Data Protection Officer può essere sia un consulente esterno in grado di garantire l’assolvimento di tutte le funzioni previste dalla normativa per questo ruolo, sia un dipendente diretto dell’azienda titolare dei dati. In quest’ultimo caso, il Regolamento richiede ovviamente l’assenza di conflitto di interessi: non è possibile, per esempio, nominare responsabile della protezione dei dati chi è già a capo dell’ICT aziendale, un direttore marketing o anche un responsabile HR.
Nel caso specifico di un gruppo imprenditoriale, la normativa permette di designare un unico Data Protection Officer a patto che possa essere raggiunto facilmente da ciascuna sede e possa comunicare efficacemente sia con gli interessati che con le autorità di controllo.
Dopo la nomina, l’organizzazione è chiamata dal canto suo a fornire al DPO adeguato supporto finanziario, infrastrutturale e in termini di personale.