Il responsabile della protezione dei dati (altrimenti detto Data Protection Officer, o DPO) è un consulente, esperto e qualificato, che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Il DPO viene introdotto per la prima volta nel nostro ordinamento dal GDPR, ma già diffuso in altri Stati membri, il cui ruolo è da tenere ben distinto da quello del responsabile del trattamento, che, come approfondito nell’apposito articolo già pubblicato, è il soggetto che affianca per compiti e responsabilità il titolare stesso (e proprio per facilitare questa distinzione ed evitare confusione si preferisce, e si è maggiormente diffuso, l’utilizzo del termine inglese Data Protection Officer e del relativo acronimo DPO).
Analizzando meglio la disciplina, emerge che il DPO è una figura che viene nominata dal titolare o dal responsabile del trattamento e che può essere selezionata tra gli stessi dipendenti del titolare del trattamento, oppure può essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.
In ogni caso, come previsto dall’art. 38, commi 1 e 2 del GDPR, il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni relative alla protezione dei dati, e pertanto il titolare o il responsabile del trattamento dovranno assicurarsi che abbia a disposizione tutte le risorse (umane ed economiche) necessarie per lo svolgimento dei suoi compiti. Le norme appena richiamate così stabiliscono: “1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
- Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.
Il DPO, per poter essere nominato, deve poi essere in possesso di alcuni requisiti, in particolare:
- deve avere un’idonea competenza e conoscenza della normativa e della prassi in materia di gestione dei dati personali, anche con riferimento alle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali. Non è necessario che sia in possesso di attestazioni formali, né che sia iscritto in un apposito albo professionale, ma la frequentazione di un corso di perfezionamento o di un master può essere uno strumento adeguato per dimostrare il raggiungimento di un livello adeguato di conoscenza. Non esistono attualmente delle abilitazioni né delle certificazioni particolari o necessarie: certo, rivolgersi ad un soggetto che possa garantire e dimostrare seriamente una competenza qualificata nella materia è, prima di tutto, interesse dello stesso titolare, sul quale, in ultimo, si ripercuotono le effettive capacità del DPO;
- deve essere una figura autonoma e indipendente e deve svolgere le sue funzioni in assenza di conflitto di interesse, quindi non potrà essere un soggetto che prende decisioni sulle finalità o sugli strumenti da utilizzare per il trattamento dei dati personali. Tale ruolo non potrà quindi essere svolto da soggetti che si trovano ai vertici di un’azienda e che possono gestire o influenzare le soluzioni e le scelte concretamente adottate in tema di trattamento di dati personali.
Questa indicazione risulta specificata anzitutto dal comma 3 dell’art. 38 del GDPR, laddove è previsto che il DPO non debba ricevere alcuna istruzione relativamente all’esecuzione dei suoi compiti e che si riferisca direttamente ai vertici aziendali, quindi non al titolare o al responsabile del trattamento. La norma prevede infatti: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. In secondo luogo, il comma 6 dell’art. 38 stabilisce che il DPO possa svolgere anche altri compiti e funzioni, ma questi non devono dar luogo a un conflitto d’interessi.
Emerge chiaramente il fatto che il legislatore europeo, attraverso l’introduzione di questa figura professionale specifica, abbia voluto innanzitutto spostare da un soggetto (il titolare o il responsabile del trattamento) ad un altro (il DPO) una serie di compiti in ambito di protezione dei dati personali, ferma restando la responsabilità in capo al titolare del trattamento.
In secondo luogo, attraverso la previsione di questa figura, sarà possibile garantire che un soggetto specializzato ed esperto in materia si occupi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, sui problemi e sulle misure di sicurezza necessarie al fine di garantire un livello di tutela adeguato. Tutto questo è stato stabilito tenendo conto della sempre maggiore diffusione e complessità (e della conseguente attenzione e cautela da dedicare) che il settore della protezione e del trattamento dei dati personali sta avendo, anche in considerazione del ruolo del web, sempre più importante ed invasivo.