DPO

DPO (Data Protection Officer): la nuova figura professionale in materia di privacy

Il DPO, per esteso Data Protection Officer, è una nuova figura professionale in materia privacy, fino ad oggi poco conosciuta in Italia. Con l’entrata in vigore del GDPR, efficace dal 25 Maggio 2018, numerosi soggetti avranno l’obbligo di assumerne uno. Cerchiamo quindi di capire di che cosa si tratta, quali saranno i suoi compiti e, soprattutto, chi non potrà farne a meno.


Il Privacy Officer è il soggetto che, all’interno di un’azienda, si occupa di organizzare il trattamento dei dati personali e di verificare che avvenga nel rispetto delle normative vigenti. Quando questo soggetto vanta autonomia decisionale nell’esercizio delle sue mansioni, viene definito CPO (Chief Privacy Officer) negli Stati Unit e DPO (Data Protection Officer) in Europa.

Che ruolo ha il DPO e quali sono i suoi compiti?

Nella traduzione Italiana del Regolamento UE 2016/679, la figura del DPO è stata tradotta con Responsabile della Protezione dei Dati. Questa figura non deve però essere confusa con quella del Responsabile del trattamento dei dati personali, che è ben diversa. Il DPO dovrà essere un soggetto dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti. Egli risponderà solo ed esclusivamente nei confronti del Titolare del trattamento o del Responsabile del trattamento da cui è stato nominato.

Il DPO avrà i seguenti compiti:

  • vigilare sull’osservanza del Regolamento UE 2016/679 e, più in generale, della normativa vigente in materia di privacy;
  • informare e consigliare il Titolare del trattamento in merito agli obblighi derivanti dal Regolamento e dalla normativa in materia di privacy;
  • supportare il Titolare in ogni attività concernente il trattamento di dati personali (quali la redazione del Registro dei trattamenti);
  • collaborare con il Titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA);
  • cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
  • essere consultato in caso di data breach ed assistere il Titolare del trattamento in caso di necessità di notifica al Garante.

Quali competenze dovrà avere un DPO?

Il DPO potrà essere nominato fra i dipendenti dell’azienda oppure potrà essere designato un soggetto esterno: un avvocato, un ingegnere o, comunque, un soggetto dotato di idonee competenze.

Il DPO dovrà possedere un’approfondita conoscenza della normativa e della prassi in materia di gestione dei dati personali. Dovrà conoscere il settore specifico in cui viene operato il trattamento (ad esempio per i trattamenti in ambito sanitario) ed avere anche competenze tecniche ed informatiche al fine di garantire idonea protezione dei dati. Nel caso in cui siano necessarie competenze trasversali, il DPO può avvalersi di un team di soggetti esperti in diverse materie. Ad esempio, un avvocato che venga nominato DPO potrà avvalersi di un ingegnere informatico per colmare eventuali lacune nelle proprie conoscenze tecniche (in materia di cybersecurity; firewall; antivirus; backup etc…). Il ruolo di DPO potrà essere ricoperto da una persona fisica o, quando si tratta di un soggetto esterno, anche da un persona giuridica. In questo caso, nelle Faq sul RPD il Garante raccomanda l’individuazione di una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Per diventare DPO non è necessario avere un titolo particolare oppure essere iscritti ad un albo. Il Titolare del trattamento deve però essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a Master o corsi di formazione, l’esibizione di certificazioni etc. sono tutti criteri che si consiglia di tenere in considerazione nella scelta di un DPO.

Chi avrà l’obbligo di assumere il DPO?

In base all’art. 37 del Regolamento UE 2016/679, saranno obbligati a designare un DPO:

  • le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

I criteri sopra elencati non permetto di individuare con assoluta certezza i soggetti per i quali sarà richiesta la designazione di un DPO. Ciò in quanto vengono utilizzati concetti suscettibili di essere interpretati discrezionalmente, quali: attività principale; larga scala; monitoraggio regolare e sistematico.

L’Autorità Garante ha già fornito delle linee guida per interpretare questi concetti ma, in determinati casi, sarà difficile avere l’assoluta certezza sulla obbligatorietà o meno di designare un DPO. A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. Nel caso in cui infine si decida di non nominarlo, è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione. Ciò al fine di esibire al Garante la valutazione effettuata in caso di contestazione. La nomina di un DPO è comunque consigliata anche nei casi in cui non risulti obbligatoria.

Chi non è obbligato ad assumere un Data Protection Officer?

Non sono obbligati ad assumere un DPO tutti i soggetti che non rientrano nelle categorie di cui al capitolo precedente. Ad esempio, i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Un DPO unico per i gruppi imprenditoriali

Il GDPR prevede che un gruppo imprenditoriale possa designare un unico responsabile della protezione dei dati personali. Ciò purché egli sia facilmente raggiungibile da ciascuno stabilimento e sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

Quanto costa un DPO?

Non esistono ad oggi tariffari di riferimento per il ruolo di DPO, il cui costo varia notevolmente a seconda delle dimensioni dell’impresa e della difficoltà dell’incarico. Se per piccole e medie imprese che trattano dati particolari, il costo annuale di un DPO sembra ad oggi attestarsi sotto gli € 10.000 annui, per imprese di grandi dimensioni o multinazionali si può tranquillamente arrivare a toccare cifre a 5 zeri.

Quello di Data Protection Officer è in ogni caso un ruolo che comporta l’assunzione di responsabilità. Richiede inoltre professionalità, conoscenze non comuni e costante aggiornamento. Diffidate dunque da soggetti privi di qualifiche, che promettono di assumere il ruolo di DPO per pochi spiccioli. In mancanza di budget adeguati, talvolta è meglio dotarsi di un buon consulente privacy e giustificare la scelta di mancata nomina del DPO conformemente al principio di accountability.

Quest’opera è distribuita da ipRights con Licenza Creative Commons Attribuzione 3.0 Italia