Il DPO, Data Protection Officer – in italiano RPD, Responsabile della Protezione dei Dati è una figura introdotta dal Regolamento GDPR (Reg. UE 679/2016) e ha la funzione di affiancare titolare e responsabili del trattamento affinché conservino i dati personali e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento, al fine di coadiuvarli nella gestione dei trattamenti di dati personali garantendo una posizione di autonomia e imparzialità. Il DPO è quindi un consulente tecnico e legale, con potere esecutivo.
La sua funzione è centrale nel garantire piena efficacia al principio di “accountability”.
La designazione del DPO è obbligatoria (da parte del Titolare o del Responsabile del trattamento) solo se:
1.il trattamento è effettuato da un’autorità̀ pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali;
2.le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3.le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’art. 9 o 10 GDPR.
La nomina del DPO è obbligatoria nell’ambito pubblico
Tutte le PA sono obbligate a nominare un DPO e costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali anche alla luce della crescente necessita di trasformare le pubbliche amministrazioni verso i processi informatici e digitali.
Nel caso in cui si opti per un DPO interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità̀ dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità̀, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. Per la sua nomina, è necessario un apposito atto di designazione da parte dell’Amministrazione.
In caso si opti per la scelta di un DPO esterno, l’rt. 37, par. 6: specifica che “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”, come anche si evince dal riferimento nelle Linee guida del WP29: par. 2.5.
Nel caso dei DPO esterno, le funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica. Se la funzione di DPO è svolta da un fornitore esterno di servizi, i compiti stabiliti per il DPO potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale DPO soddisfi tutti i requisiti applicabili come previsti dal GDPR.
E’ necessario fare attenzione alla procedura di evidenza per la scelta del DPO (valore affidamento, requisiti partecipanti, i service level agreement «SLA» del contratto di affidamento del servizio).
Per l’ipotesi della gestione in forma associata, l’art. 37, par. 3, GDPR dispone che “qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
La possibilità, per più Enti pubblici, di designare come DPO lo stesso soggetto è stato oggetto anche di una pubblicazione curata dall’ANCI (Associazione Nazionale Comuni d’Italia), facente parte della serie “quaderni ANCI” ed intitolata “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”.
Nello “schema di regolamento comunale”, allegato alla pubblicazione, si indica, nel caso di Comuni di minori dimensioni demografiche, la possibilità di affidare l’incarico di DPO ad un unico soggetto, anche esterno, designato da più Comuni mediante esercizio associato della funzione, ferme le prescrizioni e le forme previste dal d.lgs. 267/2000 (TUEL).
Al contrario, il Garante della Privacy nelle sue “FAQ sul Responsabile della protezione dei dati in ambito pubblico” (pubblicate nel dicembre 2017), ritiene ragionevole che negli Enti di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità.
Occorre aver riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.