Chi è DPO e quando se ne deve nominare uno

Cosa troverai in questo articolo?

Condividi su facebook
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram
Condividi su email

Contenuti dell'articolo

Il Data Protection Officer o, per dirlo all’italiana,  il responsabile della protezione dei dati è una figura introdotta dal GDPR. 

Ma chi è davvero il DPO? Serve a qualcosa? Dovresti averne uno?

In questo articolo rispondiamo alle più comuni domande su questa figura che all’indomani dell’entrata in vigore del GDPR è apparsa come fondamentale e ora sembra quasi sparita di circolazione. 

Cosa fa un DPO

Ce lo dice direttamente il GDPR, all’art 39 dove elenca i compiti del DPO.

  • informa e fornisce consulenza al Titolare del trattamento, al Responsabile o ai dipendenti che eseguono il trattamento dei dati sugli obblighi derivanti dal GDPR e a tutte le altre disposizioni relative alla protezione dei dati.
  • sorveglia l’osservazione delle norme relative alla privacy, compresa la formazione del personale
  • fornisce, quando richiesto, parere motivato dell’impatto sulla protezione dei dati di un trattamento e ne sorveglia il rispetto
  • coopera con l’attività di controllo
  • è il punto di riferimento per l’autorità di controllo per le questioni legate alla privacy
  • valuta i rischi inerenti al trattamento tenendo conto di vari fattori (ambito di applicazione, contesto e finalità del trattamento)

Detta in parole semplici: il responsabile della protezione dei dati è un consulente che deve rappresentare per le aziende il loro punto di riferimento per tutto quello che concerne la sicurezza e la protezione dei dati. 

Quando di nomina un DPO, quindi, si nomina un consulente che possa consigliare e sorvegliare la corretta gestione dei dati. 

Quando nominare un DPO

La nomina del DPO non è obbligatoria, salvo in dei casi specifici:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10

Il Garante nelle sue linee guida ha fatto alcuni esempi delle imprese private che rientrano in queste categorie:

  • istituti di credito; 
  • imprese assicurative; 
  • sistemi di informazione creditizia; 
  • società finanziarie; 
  • società di informazioni commerciali; 
  • società di revisione contabile; 
  • società di recupero crediti; 
  • istituti di vigilanza; 
  • partiti e movimenti politici; 
  • sindacati; 
  • caf e patronati; 
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); 
  • imprese di somministrazione di lavoro e ricerca del personale; 
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; 
  • società di call center; 
  • società che forniscono servizi informatici; 
  • società che erogano servizi televisivi a pagamento.

E tutti gli altri? possono considerarsi esonerati?

Sì e no. 

Secondo il Garante è in ogni caso raccomandata la designazione di un DPO, in forza del principio di responsabilizzazione su cui si basa l’intero GDPR, infatti, le aziende che decidono di designare un consulente che si occupi di consigliarli sulla gestione dei loro dati si dimostrano senza dubbio più responsabili e attente alla gestione dei loro dati. 

Ci sono alcune categorie di aziende che più di altre dovrebbero seriamente prendere in considerazione la nomina di un DPO, anche se non nominate nell’elenco del Garante.

Le aziende che si occupano di marketing, per esempio, possono trovarsi a gestire un’enorme quantità di dati come Titolari o Responsabili. 

Altri casi sono aziende che si trovano a gestire dati e informazioni sensibili, soprattutto se le conservano. 

Avere un consulente esperto che possa sorvegliare e consigliare può essere estremamente utile sotto diversi profili.

Chi può fare il DPO?

Citando dal documento del Garante:

“Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.”

In pratica, quindi, pur non dovendo avere specifiche qualifiche o requisiti, il DPO deve essere un professionista che conosce bene la materia e l’applicazione della materia nell’impresa che lo nomina. 

Il DPO non deve essere un vigile che ostacola l’attività aziendale, deve semmai essere un consulente che delinea delle linee di confine e indirizza l’attività dell’azienda entro i confini della privacy. 

È  importante che il consulente sia affidabile e competente, ma ancora più importante è instaurare un rapporto di fiducia e di dialogo. 

La figura del DPO è pensata per accompagnare l’intera vita dell’impresa e non per una consulenza sporadica. 

Il DPO è un consulente privacy?

La risposta è no. 

Il DPO è una figura specifica e riconosciuta (quando si nomina un DPO se ne informa il Garante), che ha dei compiti specifici; il consulente privacy, al contrario, può avere uno spettro più o meno ampio di compiti. 

Quando nella propria attività non è necessario nominare un DPO, è comunque importante avere una figura di riferimento per poter risolvere i piccoli grandi dubbi e problemi dati dalla normale attività aziendale che si scontra/incontra con il GDPR.

Vorresti capire se alla tua azienda serve un DPO o un consulente privacy?

Compila il modulo qua sotto, rispondo ad ogni email (:

Iscriviti alla newsletter

Scopri altri articoli simili...

Condividi su facebook
Condividi su linkedin
Condividi su whatsapp
Condividi su telegram

hai un progetto da lanciare o da far decollare?

Credi nel potenziale del digitale ma non sai come sfruttarlo a pieno?