Il DPO nelle P.A.

 L’art. 37 del nuovo Regolamento stabilisce espressamente che il Titolare del trattamento e il Responsabile del trattamento designino sistematicamente un “Responsabile della Protezione dei dati” o Data Protection Officer ogni qualvolta:

a) il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; (omissis)

Pertanto, la designazione del DPO, oltre a risultare obbligatoria per tutti gli enti pubblici e le pubbliche amministrazioni (centrali e locali), nel settore privato risulta necessaria in particolari ambiti - come quello sanitario - e in tutti quelli in cui sono poste in essere attività di profilazione su larga scala (concetto quest’ultimo ancora di dubbia interpretazione per il quale sarebbe auspicabile che l’Autorità Garante italiana fornisse dei chiarimenti).

In particolare, il DPO può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi , riferendo direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento: in entrambe le ipotesi, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento - in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti - e comunicati all’Autorità garante per la protezione dei dati personali.

In ogni caso, è fondamentale che il DPO sia designato in funzione alle qualità professionali, in particolare alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e alla capacità di assolvere i compiti elencati all’art. 39 del nuovo Regolamento 2016/679, ossia:

• informare e fornire consulenza al Titolare o al Responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dallo stesso Regolamento e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento;
• cooperare con l’Autorità garante per la protezione dei dati personali;
• fungere da punto di contatto con la stessa Autorità garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relative a qualunque altra questione.

A tal fine, è proprio l’articolo 38 del Regolamento a imporre al Titolare e al Responsabile del trattamento di assicurarsi che il Data Protection Officer sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, fornendogli altresì le risorse necessarie per assolvere tali compiti (e, quindi, anche un budget di spesa), accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica (anche mediante un piano di formazione periodico, un po’ come già oggi avviene per gli obblighi formativi che hanno i professionisti iscritti agli albi presso gli Ordini di appartenenza).

Inoltre, a tutela dell’autonomia e indipendenza del DPO nello svolgimento del proprio incarico, allo stesso non deve essere impartita alcuna istruzione per quanto riguarda l’esecuzione dei compiti di propria competenza, a differenza di quanto invece deve fare il Titolare con il Responsabile del trattamento (i cui compiti - a differenza di quanto avveniva sino ad oggi nel Codice privacy italiano - sono invece specificati all’art. 28 del Regolamento 2016/679 in maniera molto dettagliata). Lo stesso DPO, inoltre, non potrà essere rimosso o penalizzato dal Titolare o dal Responsabile del trattamento in ragione dell’adempimento dei propri compiti.

Il quadro normativo di riferimento delinea, dunque, il Data Protection Offi cer come una fi gura manageriale (executive manager), di consulenza e controllo, assimilabile, per taluni aspetti e per i requisiti di autonomia e indipendenza, alle funzioni che esercita un Organismo di Vigilanza (ex D.Lgs. 231/2001), ma ovviamente relativo all’ambito privacy: il DPO, infatti, funge sia da auditor sia da referente per la protezione dei dati e per la gestione degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’ente pubblico o dell’organizzazione privata in cui opera.

Da ultimo, è utile considerare che tenendo conto del nuovo approccio delle norme dell’UE alla materia privacy e del principio dell’accountability (intesa come “responsabilizzazione”) che introduce maggiori responsabilità per i titolari e responsabili del trattamento, la possibilità in futuro di poter ricorrere all’utilizzo di certifi cazioni (già previste dal nuovo Regolamento) anche per il profi lo professionale del DPO potrà sicuramente aiutare tali soggetti nella scelta delle persone più adatte a ricoprire questo ruolo e a garantire un livello di tutele e garanzie adeguate per il trattamento dei dati personali all’interno del contesto in cui tale fi gura andrà ad operare.