Il DPO, Data Protection Officer (Responsabile della Protezione dei Dati) è una figura introdotta dal GDPR (Regolamento Generale sulla Protezione dei Dati); è un consulente tecnico e legale, con potere esecutivo. Il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità.
Questa figura non deve essere confusa con quella del Responsabile del trattamento dei dati personali. Il DPO è dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti.
Egli risponderà solo ed esclusivamente nei confronti del Titolare del trattamento o del Responsabile del trattamento da cui è stato nominato. Il DPO potrà essere nominato fra i dipendenti dell’azienda oppure potrà essere designato un soggetto esterno. Il ruolo di DPO potrà essere ricoperto da una persona fisica o, quando si tratta di un soggetto esterno, anche da una persona giuridica.
Il DPO dovrà possedere un’approfondita conoscenza della normativa e della prassi in materia di gestione dei dati personali; dovrà conoscere il settore specifico in cui viene operato il trattamento ed avere anche competenze tecniche ed informatiche al fine di garantire idonea protezione dei dati.
La sua attitudine deve essere quella di un counselor, un professionista che facilita il percorso di auto-consapevolezza nel cliente. Deve sapersi calare nel contesto ed esaminare bene la situazione.
L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
I compiti del DPO sono indicati nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare:
a) Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) Sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) Cooperare con l’autorità di controllo.
Il DPO deve inoltre:
d) Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
e) Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare consultazioni relativamente a qualunque altra questione;
f) Considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.