GDPR e privacy: chi è il DPO e cosa fa?
Q&A sul Responsabile della protezione dei dati
Chi è il DPO e cosa fa? Chi può fare il DPO? Quali sono i suoi compiti e le sue responsabilità? Tutte le aziende devono avere un Responsabile della protezione dei dati?
In questo articolo risponderemo a queste e molte altre domande.
Cosa significa DPO?
DPO è l’acronimo di Data Protection Officer.
Che differenza c’è tra DPO e RPD?
Nessuna. RPD è l’acronimo di Responsabile della Protezione dei Dati, la traduzione italiana di Data Protection Officer (DPO).
Cosa fa il DPO e che competenze ha?
Il DPO è una figura professionale introdotta dal GDPR (Regolamento generale sulla protezione dei dati 2016/679). Svolge il ruolo di Responsabile della Protezione dei Dati per enti pubblici e aziende private.
Il DPO è un “consulente privacy” che ha ovviamente competenze specialistiche per quanto riguarda le normative privacy in vigore, ma anche competenze giuridiche, informatiche di livello avanzato, gestione del rischio e analisi dei processi.
Come si diventa DPO?
Al momento non esiste un corso di laurea per diventare DPO, ma è evidente che servano competenze molto approfondite per svolgere le relative mansioni assegnategli dal GDPR.
Le competenze necessarie per praticare questa professione possono essere ottenute tramite percorsi di studi specializzati, corsi dedicati a specialisti della privacy, master universitari e ovviamente esperienze lavorative nel settore.
Quali articoli del GDPR introducono la figura del DPO?
Nel GDPR c’è una sezione apposita relativa al “Responsabile della protezione dei dati”.
Nel dettaglio gli articoli sono:
- Art. 37 GDPR – Designazione del responsabile della protezione dei dati;
- Art. 38 GDPR – Posizione del responsabile della protezione dei dati;
- Art. 39 GDPR – Compiti del responsabile della protezione dei dati.
Chi può fare il DPO?
Il DPO può essere:
- un professionista esterno, oppure;
- una figura interna all’azienda. Questa figura può svolgere altre funzioni, ma deve essere però garantita una certa indipendenza dalla parte “amministrativa” dell’azienda stessa.
Il legale rappresentante non può essere il DPO della sua azienda in quanto è ben specificato dall’articolo 38 paragrafo 6 che “Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”.
Anche un semplice dipendente, ovviamente con le giuste competenze, può essere il DPO dell’azienda per cui lavora, ma attenzione, sempre l’art. 38 stabilisce anche che “Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti.”.
La “Posizione del responsabile della protezione dei dati” è ben definita dall’art 38 del GDPR:
1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
2. Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.
5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
Quali compiti ha il DPO?
Il DPO analizza, valuta e organizza la gestione del trattamento e della protezione dei dati personali all’interno delle aziende, sia pubbliche che private, cosicché questi vengano trattati nel rispetto delle normative privacy. Svolge inoltre da collegamento tra le aziende per cui fa da consulente e l’autorità di controllo competente (Garante Privacy).
La sua è una figura di consulente tecnico e legale all’interno dell’azienda, fornisce al Titolare e ai Responsabili del trattamento tutte le informazioni necessarie per poter svolgere il loro lavoro nel rispetto delle norme.
Il Titolare e il Responsabile del trattamento possono però non accogliere le indicazioni del DPO, specificando i motivi per i quali non lo fanno.
Nel dettaglio i compiti del DPO sono definiti dall’art 39 del GDPR:
1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il DPO è responsabile per le decisioni prese dal Titolare/Responsabile del trattamento?
Nel caso di inosservanza del Regolamento UE (GDPR), il DPO non risponde personalmente, ma sono il Titolare e il Responsabile del trattamento a doverlo fare.
Uno dei principi cardine su cui si basa il GDPR è proprio la responsabilizzazione dei Titolari e dei Responsabili del trattamento che devono poter dimostrare il rispetto e la conformità alle disposizioni del Regolamento UE.
Questo non significa che il DPO non abbia nessuna responsabilità, nel suo ruolo di consulente tecnico e legale è obbligato a sorvegliare e segnalare nelle opportune modalità le eventuali mancanze nella procedure aziendali, ma nel corretto assolvimento dei propri compiti, il DPO non può essere penalizzato o rimosso.
Tutte le aziende sono obbligate ad avere un DPO?
No, come disciplinato dall’art. 37 paragrafo 1 del GDPR riguardo la “Designazione del responsabile della protezione dei dati”, è obbligatorio nominare un DPO nei seguenti casi:
1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In tutti gli altri casi è comunque possibile nominare un DPO su base volontaria.
A chi va comunicata la nomina del DPO?
Quando viene designato un DPO deve esserne fatta corretta comunicazione all’Autorità di controllo nazionale, il Garante per la protezione dei dati. Ricordiamo che uno dei compiti del DPO è proprio quello di fare da collegamento con l’Autorità quindi, deve esserne messa al corrente.
Il contatto del DPO deve essere anche inserito nell’informativa privacy dei siti web aziendali.
Conclusioni e Raccomandazioni
Ricapitolando il DPO o Responsabile della protezione dei dati:
- è una figura professionale introdotta dagli artt. 37,38 e 39 del GDPR;
- ha competenze specialistiche in diversi ambiti relativi alla privacy (campo giuridico, informatico, gestione del rischio, analisi dei processi, ecc.);
- può essere un professionista esterno all’azienda oppure una figura interna con le giuste competenze purchè sia garantità l’indipendenza dalla parte amministrativa dell’azienda stessa;
- analizza, valuta e organizza la gestione del trattamento e della protezione dei dati personali cosicché i dati vengano trattati nel rispetto delle normative privacy;
- funge da collegamento tra l’azienda per cui fa da consulente e l’autorità di controllo;
- non risponde personalmente e non può essere penalizzato o rimosso, nel corretto assolvimento dei propri compiti, se il Titolare e il Responsabile del trattamento prendono decisioni che causano l’inosservanza del GDPR;
- è obbligatorio nominare un DPO solo nei casi previsti dall’art 37, mentre per tutti gli altri è possibile su base volontaria, ma non necessario.
Uno degli errori più comuni che ci capita di vedere quando analizziamo le informative privacy sui siti web è il legale rappresentante che si auto-nomina DPO della propria azienda, cosa che chiaramente va in conflitto con l’art. 38 del GDPR (come spiegato qui sopra).
Questo errore ricorrente unito alle domande che ci vengono poste più di frequente riguardo alla figura del DPO ci fanno capire che c’è un po’ di confusione intorno a questa figura e che speriamo di aver chiarito almeno in parte con il nostro articolo.
Fateci sapere se la vostra attività rientra tra quelle obbligate alla nomina del DPO oppure, se state valutando di nominarne uno e non sapete a chi rivolgervi. Sapremo consigliarvi il professionista più adatto alle vostre esigenze.
Hai dubbi o necessiti di una consulenza dedicata?
Vedi rendere conforme il tuo sito web alla normativa privacy e cookie?
Vuoi adeguare i trattamenti di dati personali della tua azienda, il tuo studio professionale o attività commerciale?
Contattaci oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti
Dal 2000 Microteam aiuta aziende, professionisti e commercianti che trattano dati personali a farlo in conformità alle principali normative nazionali ed estere.
Ci occupiamo della visibilità, sicurezza e aggiornamento del tuo sito web.
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?