DPO: significato, ruolo, responsabilità

Il DPO è una nuova figura centrale in tema privacy, introdotta dalla nuova normativa GDPR a tutela dei dati personali.

Il significato di DPO è Data Protection Officer, traducibile in italiano come: Responsabile della Protezione dei Dati. Si tratta di una nuova figura prevista dalla normativa europea GDPR all’interno di alcune tipologie di organizzazioni, con la funzione di garantire la sicurezza dei dati trattati.

Chi è il DPO

Il Data Protection Officer all’interno dell’organizzazione ha la funzione di analizzare, organizzare e valutare le procedure di trattamento e protezione dei dati personali, al fine di garantire il rispetto della normativa GDPR. Per fare ciò, a questa figura professionale sono richieste competenze trasversali: di informatica, di analisi dei processi, di gestione del rischio e giuridiche.

Il ruolo del DPO

Il ruolo del DPO prevede, in accordo con l’articolo 39 del Regolamento Privacy UE 2016/679 (GDPR), lo svolgimento di diversi compiti, tra questi quelli fondamentali:

  • Fornire supporto, nelle modalità dell’informazione e della consulenza, al Titolare del trattamento – o al Responsabile del trattamento – e ai dipendenti che eseguono il trattamento in merito agli obblighi imposti dalla normativa;
  • Sorvegliare l’osservanza alle regole imposte dalla normativa da parte del Titolare del trattamento (o Responsabile), compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo connesse;
  • Fornire, su richiesta, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR;
  • Cooperare con l’autorità di controllo;
  • Svolgere il ruolo di punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del GDPR, rendendosi disponibili a effettuare, eventualmente, consultazioni relativamente a qualunque altra questione inerente.

Questi sopra elencati risultano i compiti minimi richiesti al DPO nelle organizzazioni per le quali è prevista la sua presenza.

Le responsabilità del DPO

Le responsabilità del DPO risultano nei confronti del Titolare del trattamento il quale, agli occhi della legge, figura come unico responsabile in caso di mancato rispetto della normativa vigente o di furto o compromissione dei dati.

Quando è obbligatorio

La figura del DPO risulta obbligatoria per:

  • Le pubbliche amministrazioni che prevedono nel loro operato il trattamento di dati personali (Es. Comuni, Ospedali, Scuole ecc.);
  • Le organizzazioni le cui attività principali riguardano un trattamento dei dati che richieda il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Le organizzazioni le cui attività principali richiedono il trattamento su larga scala di dati sensibili o giudiziari.

Il DPO viene nominato dal Titolare o dal responsabile del trattamento dei dati e poi comunicato all’Autorità di controllo nazionale.

Chi può fare il DPO

Il DPO può essere individuato tra le risorse interne all’organizzazione o esternalizzato presso fornitori di servizi esterni specializzati. Seppur non esista un albo o un percorso da seguire specifico per diventare Data Protection Officer è possibile ricoprire la funzione se si è in possesso delle competenze richieste. Queste possono essere acquisite attraverso percorsi di studi e di formazione, esperienza pregressa nel settore o master universitari di I e II livello.