Chi è il DPO, quali sono i requisiti previsti per ricoprire tale posizione, in quali casi è previsto e quali funzioni esplica:

La rapidità dell’evoluzione tecnologica e la globalizzazione hanno comportato effetti tanto positivi quanto negativi. Tra questi ultimi vi è da segnalare il notevole rischio al quale sono esposti i dati personali. La portata della condivisione e della raccolta di tali dati è infatti aumentata in modo significativo e tanto le imprese, quanto le Pubbliche Amministrazioni hanno oggi il potere di gestire e di utilizzare una quantità impressionante di informazioni sensibili rispetto al passato. Le persone fisiche oggigiorno rendono sempre più spesso disponibili contenuti ed informazioni strettamente personali e, proprio per questo motivo, è necessario dunque prevedere delle misure di sicurezza per la protezione di tali dati.

Il Regolamento UE 679/2016 ha risposto a questa esigenza introducendo la figura professionale del Data Protection Officer (DPO) al fine di garantire un’effettiva protezione di queste informazioni. Nello specifico, per DPO si intende il Responsabile della Protezione dei Dati (RPD). Tale provvedimento, entrato in vigore il 25 maggio 2016, si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018.

L’introduzione del DPO non è una novità assoluta nel panorama legislativo europeo. Nonostante infatti nessuna legge comunitaria abbia mai previsto fino ad ora l’obbligatorietà di tale figura professionale, molti Stati dell’Unione l’avevano già ufficializzata recependo la direttiva 95/46/CE. Si pensi ad esempio al mondo anglosassone, in cui questo soggetto è conosciuto sotto diversi nomi: Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer .

Il DPO o RPD viene selezionato in base alle sue qualità professionali e alla sua preparazione in ambito di trattamento dati. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi. Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, per ricoprire tale ruolo dovrà possedere i seguenti requisiti:

possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e a corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;
operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Tale Regolamento prevede dunque che il DPO debba possedere un insieme di competenze (giuridiche, informatiche, di risk management, di analisi dei processi, ecc.) in modo da assicurare un’effettiva messa in sicurezza di questi dati. La sua responsabilità principale è infatti quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative della privacy europee e nazionali.

Il Regolamento, che obbliga aziende e Pubbliche Amministrazioni che trattano dati critici o su larga scala a dotarsi di tale professionista, prevede che dovrà esser designato obbligatoriamente un RPD o DPO dal titolare e dal responsabile del trattamento dati in tre occasioni:

Quando il trattamento è effettuato da amministrazioni pubbliche, da enti pubblici o da organismi pubblici (fatta eccezione per le autorità giudiziarie nell’esercizio delle loro funzioni[1]);
Quando si ha a che fare con trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
Quando il trattamento riguarda, su larga scala, dati sensibili genetici, biometrici o relativi a condanne penali, alla salute o alla vita sessuale.
Infine, anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria.

Secondo l’art. 39 del Regolamento europeo sulla protezione dei dati personali, il Responsabile della protezione dei dati dovrà in particolare:

a) sorvegliare l’osservanza del Regolamento e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
b) collaborare con il titolare/responsabile del trattamento, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
c) informare, sensibilizzare e fornire consulenza al Titolare o al Responsabile del trattamento, nonché ai dipendenti di questi ultimi, in merito agli obblighi derivanti dal presente regolamento nonché dalle altre disposizioni interne o europee in materia di protezione dei dati;
d) fornire, se richiesti, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
e) cooperare con l’autorità di controllo fungendo da raccordo con essa per questioni connesse al trattamento dei dati[2].
f) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento .
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati, nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento che gli devono fornire tutte le risorse necessarie sia per svolgere il suo lavoro, sia per permettergli di mantenere aggiornata la sua conoscenza specialistica. In qualunque caso, il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.

È chiaro che l’introduzione di tale figura serve non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) l’intero insieme di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia, di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, sulle problematiche e sulle misure di sicurezza necessarie a garantire un livello di tutela adeguato, il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati, soprattutto in campo digitale e nel mondo del web, sta sempre più acquisendo.

Il titolare e il responsabile del trattamento dovranno dunque mettere in atto tutte le misure tecnico-organizzative che siano in grado di garantire un livello di sicurezza adeguato contro rischi quali la distruzione, la perdita, la modifica, la divulgazione non autorizzata e l’accesso accidentale o illegale dei dati personali trasmessi, conservati o comunque trattati[3].

Infine è un diritto degli interessati contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati.

In conclusione, alla luce di quanto esposto, si consiglia alle imprese, se vorranno garantire standard di sicurezza adeguati, di nominare un DPO anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni. E’ necessario affidarsi a dei professionisti che investono quotidianamente sulla formazione dei propri dipendenti. Sotto tale aspetto, Argo offre al nuovo mercato nascente questa nuova figura professionale che diventerà nel tempo indispensabile per tutte le imprese Titolari e Responsabili del trattamento dati personali e sensibili, anche nei casi in cui la nomina di tale professionista non sia obbligatoria per legge.

E’ indispensabile affidarsi a dei professionisti quando si tratta di gestire dati così delicati, per essere certi che questi non trapeleranno, che verranno messi al sicuro e che verranno trattati con la massima diligenza e scrupolosità.