Il DPO (o “Responsabile della protezione dei dati”) è una figura introdotta nel nostro ordinamento dall’art. 37 del Regolamento Europeo 679/2016 (GDPR), secondo cui il Titolare o il Responsabile del trattamento (l’azienda) deve obbligatoriamente designare un DPO, per evitare sanzioni, quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (è il caso, ad esempio, anche delle società a partecipazione pubblica);
- l’attività principale del titolare o responsabile richiede il monitoraggio regolare e sistematico degli interessati su larga scala (pensiamo, tra gli altri, a società che si occupano di vigilanza, di indagini statistiche o di servizi assicurativi e finanziari);
- le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali (gli ex c.d. dati sensibili); si pensi a cliniche, centri medici di rilevanti dimensioni, case di riposo, ecc.
Anche se non è imposto dalla normativa, il Titolare del trattamento che ritiene di svolgere particolari trattamenti di dati personali (dei suoi clienti, dei dipendenti, di terzi) può -ed è consigliabile- valutare la nomina di un DPO, utile all’azienda anche per assicurare la piena conformità alla disciplina in materia di trattamento dei dati personali (c.d. compliance).
L’art. 39 GDPR elenca le attività minime che devono essere demandate al DPO, tra cui:
- svolgere una valutazione dei rischi del trattamento di dati personali svolto dall’azienda e valutarne le necessità;
- informare e fornire consulenza al titolare o al responsabile del trattamento (e ai loro dipendenti) in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati;
- sorvegliare l’osservanza della normativa privacy, ivi compresi i regolamenti aziendali interni (partendo, ad esempio, dalla formazione e sensibilizzazione del personale);
- cooperare con l’autorità di controllo (Garante della Protezione dei Dati Personali) e fungere da punto di contatto con quest’ultimo.
Il DPO, quindi, nell’organizzazione aziendale è un professionista in grado di valutare la situazione dell’impresa sotto il profilo della gestione dei dati personali, provvedendo poi a collaborare con l’azienda nell’adeguamento di eventuali carenze e coadiuvandola nella gestione quotidiana della materia privacy.
La società che dovesse rendersi conto di avere necessità di individuare un DPO si troverà poi di fronte ad altre domande: come scegliere un DPO? Quali sono i requisiti?
I requisiti del DPO sono previsti dall’art. 37 GDPR, che impone la scelta “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, deve essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali.” e ribadisce l’autonomia nella gestione del suo incarico (art. 39).
L’Avv. Paolo Alfano, esperto in materia di trattamento dei dati personali, svolge già proficuamente l’attività di DPO per Clienti pubblici e privati, ed è pronto a valutare insieme a Voi se la Vs. azienda è obbligata a nominare un DPO o ne avrebbe comunque la necessità, per poi individuare congiuntamente le più opportune modalità di collaborazione.