17 Mag Il responsabile della protezione dei dati [Data Protection Office]: definizione, nomina e responsabilità
Il responsabile della protezione dei dati cd. Data Protection Officer ovvero con l’acronimo DPO è un consulente esperto e qualificato che affianca il titolare del trattamento nella gestione delle questioni connesse al trattamento dei dati personali e lo coadiuva a rispettare la normativa vigente.
Questa nuova figura ha un ruolo ben distinto e non deve essere confuso con il responsabile del trattamento chiamato ad affiancare i compiti e le responsabilità il titolare del trattamento.
Quanto ai compiti, l’art. 38 1 e 2 co. fornisce la risposta:
1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
2. Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
La nomina del cd. Data Protection Officer è effettuata dal titolare del trattamento e dal responsabile del trattamento, ai sensi dell’art. 37; fra i soggetti selezionati si possono annoverare i dipendenti del titolare del trattamento, oppure può essere un libero professionista esterno ed autonomo appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.
Anche il Data Protection Officer al pari del responsabile del trattamento per essere nominato deve essere in possesso di specifici requisiti quali:
1. avere un’idonea competenza e conoscenza della normativa e della prassi in materia di gestione dei dati personali, anche con riferimento alle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali. Non è necessario che sia in possesso di attestazioni formali, né che sia iscritto in un apposito albo professionale. Non esistono attualmente delle abilitazioni né delle certificazioni particolari o necessarie;
2. deve essere una figura autonoma e indipendente e deve svolgere le sue funzioni in assenza di conflitto di interesse (cfr. art. 38, 3 co.).
La nomina assume carattere obbligatorio da parte del titolare del trattamento o dal responsabile del trattamento:
1. nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica ovvero da un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni.
2. all’interno di quegli organismi privati incaricati dello svolgimento di funzioni pubbliche, o che comunque esercitano pubblici poteri;
3. quando le attività principali svolte del titolare ovvero del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, quali in via esemplificativa, servizi di telecomunicazioni, il reindirizzamento di messaggi di posta elettronica, attività di marketing basate sull’analisi dei dati raccolti, tracciamento della posizione, programmi di fidelizzazione, monitoraggio di dati sullo stato di salute e sulla forma fisica attraverso dispositivi indossabili;
4. nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili ovvero di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.
In tutti i restanti casi, trova applicazione l’art. 37, 4 co. del Regolamento che stabilisce: «Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento».
Quanto alle funzioni ed alle conseguente responsabilità il Data Protection Officer ha il compito di vigilare l’osservanza del Regolamento parte del titolare e del responsabile del trattamento.
Fanno parte di questi compiti di controllo:
1. la raccolta di informazioni per individuare i trattamenti svolti;
2. l’analisi e la verifica della conformità dei trattamenti;
3. l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile;
4. valutazione d’impatto sulla protezione dei dati;
5. cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo.
Come precisato dall’art. 39, 1 co. lettera a) l’attività di controllo del rispetto del Regolamento non fa discendere in capo al Data Protection Officer personali responsabilità in caso di inosservanza degli obblighi in materia di protezione dei dati personali.
Il Regolamento in tema chiarisce all’art. 24, 1 co. che è compito del titolare del trattamento porre in essere tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.
Pertanto, la responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade esclusivamente sul titolare del trattamento o sul responsabile del trattamento.
Il Data Protection Officer sarà chiamato a rispondere nei confronti del titolare del trattamento in sede contrattuale o disciplinare a seconda che si tratti di un soggetto interno o esterno all’azienda, ma non già per il mancato rispetto del Regolamento per il quale il responsabile è il titolare ovvero in solido con il responsabile del trattamento.
L’attività compiuta dal Data Protection Officer deve essere inoltre effettuata nel rispetto delle norme in materia di segreto o riservatezza.
Da ultimo, è opportuno precisare, che l’elenco di compiti affidati al Data Protection Officer in forza dell’art. 39, 1 co. non è esaustivo quanto meramente esemplificativo; il titolare del trattamento ha quindi la possibilità di affidare ulteriori funzioni, tra anche quella di tenere il registro delle attività di trattamento, benché si tratti sempre di attività svolta sotto la responsabilità del titolare stesso ovvero del responsabile.