Alla scoperta del Responsabile della protezione dati (Data protection officer)

L’istituzione della nuova figura del Responsabile della protezione dei dati (DPO) è, come è ormai noto, la principale novità normativa del Regolamento europeo che mira al potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali, cioè tutti quei dati che rendono una persona identificata o almeno identificabile. Una persona risulta identificabile se, conoscendo quel dato, altre informazioni possono essere ottenute senza sforzi irragionevoli, consentendone l’identificazione.

Il DPO, obbligatorio se il trattamento è svolto da un’azienda che ha come core business la gestione di dati personali, se l’azienda che supera i 250 dipendenti o se il trattamento è svolto da un organismo pubblico, deve essere autonomo, indipendente, esterno e deve esser dotato di indipendenza economica e finanziaria. È incaricato dei seguenti compiti:

1. Informare e fornire consulenza al titolare ed al responsabile dei dati, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD (regolamento generale sulla protezione dei dati) e dalle altre normative relative alla protezione dei dati. In tal senso il DPO può indicare al titolari e/o al responsabile i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
2. Sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del titolare e del responsabile del trattamento;
3. Sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal titolare e dal responsabile del trattamento;
4. Fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento;
5. Cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità;
6. Verificare la tenuta dei registri del titolare e del/dei responsabili sul trattamento.

Con l’introduzione di questa nuova figura professionale si è quindi aggiunta un ulteriore e decisivo tassello sulla protezione e il rispetto dei dati personali che, oltre all’essere ormai una vera e propria merce, spesso sono trattati in modo improprio e illegittimo (vedi il caso Facebook/Cambridge Analytica). È comunque importante precisare che tale figura non riduce la responsabilità del titolare del trattamento dei dati personali raccolti, che rimane in egual modo responsabile del rispetto dei principi stabiliti dall’art. 5 del RGPD: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.

Scritto da Giuseppe Lupinacci