La figura del DPO è stata istituita per la prima volta dal GDPR, il Regolamento Generale per la Protezione dei Dati Personali. L’articolo 37 del GDPR, in particolare, identifica i requisiti e i presupposti che devono essere rispettati per la designazione, mentre l’articolo 38 si concentra sulla posizione all’interno dell’organigramma: a tal proposito, è utile ricordare che il DPO può essere sia interno che esterno, ma in tutti i casi deve ricevere dal responsabile o dal titolare del trattamento le risorse che occorrono per lo svolgimento delle mansioni di cui si deve occupare.
Che cosa fa il DPO
A questo proposito: di che cosa si occupa di preciso il DPO? Per scoprirlo è necessario risalire all’articolo 39 del GDPR, che definisce i compiti, il ruolo e le funzioni di questa figura. Si tratta, nello specifico, di mansioni di carattere informativo e consultivo finalizzate a supportare il responsabile e il titolare del trattamento. Non solo: il DPO è chiamato anche a sorvegliare che le norme del GDPR vengano rispettate, così come tutte le altre disposizioni riguardanti la protezione dei dati personali. Egli, poi, deve cooperare con l’autorità di controllo, e più in generale rappresenta il punto di contatto, con la stessa autorità di controllo, rispetto alle diverse questioni che hanno a che fare con i trattamenti effettuati.
Il ruolo del Data Protection Officer
Chi ambisce a ricoprire il ruolo di Data Protection Officer è tenuto a seguire un apposito corso dpo. È inevitabile che sia così, vista la fondamentale importanza delle mansioni del responsabile della protezione dei dati. Nel complesso le sue attività mirano da un lato a garantire il rispetto delle leggi che riguardano la protezione dei dati e dall’altro lato ad assicurare la promozione di una efficace tutela dei diritti dei soggetti coinvolti. È anche questa la ragione per la quale il Comitato Europeo ha voluto appurare che le attività tipicamente svolte dai DPO siano coerenti con le disposizioni contenuti negli articoli 37 e 39 del GDPR, e al tempo stesso siano in linea con le risorse a disposizione in funzione al carico di attività e alle esigenze.
Le criticità del ruolo
Quali sono le criticità che più di frequente riguardano le attività dei DPO? Spesso, il problema è proprio a monte, nel senso che il DPO semplicemente non viene designato. Come si può facilmente intuire, in una situazione del genere è indispensabile provvedere nel più breve tempo possibile a tale nomina, a maggior ragione nel caso in cui essa sia nomina; dopodiché occorre predisporre delle mansioni ad hoc per le varie attività che vengono attribuite al DPO dalla normativa relativa alla protezione dei dati. Può capitare, d’altro canto, che alle funzioni di DPO vengano assegnate delle risorse non sufficienti: in tale eventualità, è opportuno organizzare più iniziative in grado di favorire la collocazione di risorse affinché il DPO venga messo nelle condizioni di svolgere le proprie funzioni.
Competenze ed esperienza sono sempre sufficienti?
Nell’eventualità in cui si riscontrino competenze, conoscenze e un livello di esperienza insufficiente da parte del DPO, questo deve essere invitato a prestare più attenzione alla mission che gli è stata attribuita, con riferimento in particolare all’applicazione delle prescrizioni del GDPR. Sarebbe auspicabile accertare le competenze specialistiche dei DPO e prestare attenzione al loro costante aggiornamento, prevedendo risorse sufficienti a supportare lo svolgimento delle attività. Non bisogna mai dimenticare che quella del DPO è una figura trasversale, nel senso che deve essere in possesso di competenze che spaziano dal settore informatico a quello tecnico, senza dimenticare il comparto legale. È importante che venga sempre garantita l’indipendenza del DPO, il che vuol dire anche neutralizzare gli eventuali conflitti di interesse.
La designazione del DPO
In Italia sono state riscontrate alcune criticità in relazione ai DPO che sono operativi nel comparto pubblico, in riferimento in particolare all’iter di designazione, con il rischio che si concretizzino dei conflitti di interesse. Non a caso, il Garante della Privacy italiano in più di una occasione ha emanato dei provvedimenti sanzionatori nei confronti di enti locali che si erano resi colpevoli di non aver proceduto in maniera corretta nella designazione del DPO, specialmente per quel che riguarda la comunicazione all’Autorità dei dati di contatto del responsabile della protezione dei dati.
Richy Garino