Oltre alla conoscenza normativa, l’esperto deve conoscere lo specifico settore di attività e la struttura organizzativa, così come le attività di trattamento svolte, i sistemi informativi utilizzati, le misure di sicurezza adottate e le esigenze specifiche richieste dal titolare o responsabile del trattamento
Il Reg. UE 2016/679 (Regolamento generale in materia di protezione di dati personali “GDPR”) che ad oggi rappresenta la principale normativa sul trattamento dei dati personali a livello europeo ha introdotto la figura del responsabile della protezione dei dati personali o “Data protection officer”, in sigla DPO o RDP, il quale viene nominato dal titolare o dal responsabile del trattamento. In taluni casi la nomina è obbligatoria, in altri può avvenire per scelta volontaria.
La nomina del DPO è obbligatoria quando: i) il trattamento dei dati personali è svolto da un’autorità pubblica o da un organismo pubblico; ii) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scale, oppure: iii) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati (art. 37 par. 1 GDPR.).
Nei casi in cui non è prevista l’obbligatoria della nomina del DPO, il titolare o responsabile del trattamento possono comune designarlo su base volontaria, opzione peraltro suggerita dalle stesse Linee Guida sul DPO. Nell’ipotesi in cui invece la nomina del DPO non sia obbligatoria, né si intenda designarlo su base volontaria, il titolare o il responsabile del trattamento potrebbero comunque nominare personale interno oppure consulenti esterni, incaricati di occuparsi specificamente delle questioni in materia di protezione di dati personali all’interno della propria organizzazione.
Al fine di evitare che queste figure siano parificate a quella del DPO è fondamentale che non ci sia confusione nella denominazione, nel ruolo e nei compiti che queste figure consulenziali devono svolgere. Il titolare o il responsabile del trattamento devono documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire la necessità o meno di procedere alla nomina del DPO, al fine di poter dimostrare di aver correttamente considerato tutti gli elementi nel rispetto del principio responsabilizzazione o “accountability”.
La designazione del DPO non è obbligatoria per i trattamenti effettuati da: i) liberi professionisti operanti in forma individuale; ii) agenti, rappresentanti e mediatori operanti non su larga scala; iii) imprese individuali o familiari, nonché piccole e medie imprese ove i trattamenti si riferiscano alla sola gestione dei rapporti con fornitori e dipendenti (Così provv. Garante Privacy del 26/3/2018).
Orbene nel caso in cui il titolare o il responsabile del trattamento siano soggetti privati gli stessi sono tenuti a nominare il Responsabile per la protezione dei dati personali nel caso in cui la propria “attività principale” riguardi “trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala”. Costituiscono esempi di tale tipologia di trattamento la fornitura di servizi di telecomunicazione, l’attività di profilazione e lo scoring per finalità di valutazione del rischio, incluse le attività di valutazione del rischio creditizio, la geolocalizzazione, l’utilizzo di smart devices. Rientrano invece nella terza ipotesi sopra indicata (art. 37 par. 1 lett. b) e c) ovvero in quella del “trattamento su larga scala di categorie particolari di dati”, i trattamenti di quei dati personali che ai sensi dell’art. 9 del GDPR sono idonei a rivelare: i) l’origine razziale o etnica; ii) le opinioni politiche; iii) le convinzioni religiose o filosofiche; iv) l’appartenenza sindacale; v) i dati genetici; vi) i dati biometrici; vi) i dati relativi alla salute; vii) i dati relativi alla vita sessuale o all’orientamento sessuale di una persona; viii) i dati relativi a condanne penali e reati di cui all’art. 10 GDPR. Presupposto per l’obbligatorietà della nomina del DPO in questo caso è che il trattamento avvenga su “larga scala”.
Il DPO da nominare deve essere individuato “in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” nonché “della capacità di assolvere i compiti” allo stesso affidati a norma dell’art. 39 GDPR (Cfr. par. 5 dell’art. 37 del GDPR). Il DPO potrà essere un dipendente del titolare o del responsabile del trattamento oppure un soggetto esterno che svolgerà questa funzione sulla base di un contratto di servizi (art. 37 par. 6 GDPR). Il livello di conoscenza specialistica richiesto al DPO dev’essere proporzionale alla complessità dei trattamenti dei dati personali da effettuare e alla quantità dei dati da trattare, pertanto è richiesta sicuramente la conoscenza oltre che del GDPR, della normativa, delle linee guida, delle raccomandazioni, delle decisioni e delle prassi in materia di protezione dei dati personali sia a livello europeo che nazionale. Oltre alla conoscenza normativa, il DPO dovrà conoscere lo specifico settore di attività e la struttura organizzativa, così come le attività di trattamento svolte, i sistemi informativi utilizzati, le misure di sicurezza adottate e le esigenze specifiche richieste dal titolare o responsabile del trattamento. Il titolare e il responsabile del trattamento devono assicurarsi che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (art. 38 par. 1 GDPR), è opportuno che lo stesso sia coinvolto nelle riunioni direttive della propria società e che lo coinvolgano ogniqualvolta debbano assumere decisioni che influiscono sul trattamento e la protezione dei dati personali.
Il Data Protection Officer – DPO riporta direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento, cui lo stesso deve riferire almeno annualmente e in caso di necessità, sulle questioni attinenti al trattamento dei dati personali. Il vertice gerarchico dell’impresa resta l’unico responsabile delle decisioni anche in materia di trattamento di dati personali e può discostarsi dalle indicazioni del DPO solo motivandone le ragioni e ferma la possibilità per quest’ultimo di evidenziare comunque il proprio dissenso.
Per quanto riguarda i compiti del DPO (cfr. art. 39 GDPR) costui oltre a informare e fornire consulenza al titolare o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento dei dati, assolve altresì al compito di “sorvegliare l’osservanza del GDPR” compresa l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo (art. 39 par. 1 lett. b. GDPR). Il DPO è tenuto a verificare la conformità dei trattamenti di dati personali svolti dal titolare o responsabile, anche attraverso un esercizio di mappatura e analisi degli stessi.
Il DPO ha inoltre il compito di fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 (art. 39 par. 1 lett. c GDPR) egli inoltre deve cooperare con l’Autorità di controllo e fungere da punto di contatto per questioni relative al trattamento dei dati personali.