La figura del Data Protection Officer (“DPO”) o Responsabile della protezione dei dati rappresenta una delle principali novità introdotte dal Regolamento (UE) 2016/679 (“GDPR”) a partire dal 2018 e costituisce uno degli elementi chiave per assicurare una governance adeguata dei sistemi aziendali per la protezione dati personali.
Il DPO deve essere individuato in funzione della sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali, delle sue qualità professionali, della sua capacità di assolvere i propri compiti, nonché della sua posizione di autonomia e indipendenza, potendo svolgere anche altri compiti e funzioni a condizione che sia assicurata l’assenza di conflitto di interessi.
Il Data Protection Officer è chiamato ad assolvere, all’interno delle realtà in cui svolge la propria attività, un ruolo imprescindibile per assicurare la correttezza e la conformità dei trattamenti dei dati personali - realizzati dalle richiamate realtà aziendali, pubbliche o private - rispetto alle previsioni del Regolamento (UE) 2016/679 e, in generale, di tutta la vigente normativa in materia di protezione dei dati personali. Le organizzazioni private e la Pubblica Amministrazione - al ricorrere di specifici presupposti richiamati nel seguito - devono dotarsi di un DPO, il cui principale compito è quello di informare e fornire consulenza al titolare (o al responsabile) del trattamento dei dati, nonché ai dipendenti che svolgono i trattamenti: ciò con l’obiettivo di implementare un adeguato sistema aziendale per la protezione dati personali e che i trattamenti di dati svolti siano conformi alle previsioni normative.
Al Data Protection Officer è richiesto, inoltre, di sorvegliare l’osservanza della normativa privacy, europea e nazionale, nonché delle politiche interne adottate dal titolare (o dal responsabile) relativamente alla protezione dei dati personali, comprese le attribuzioni dei ruoli e delle responsabilità.
Il Responsabile della protezione dei dati ha anche il compito di sensibilizzare il personale dipendente che partecipa ai trattamenti e alle connesse attività di controllo, principalmente tramite una formazione da svolgere nel continuo. Inoltre, il DPO fornisce un parere in merito alla valutazione d'impatto sulla protezione dei dati e coopera con l'autorità di controllo, fungendo da punto di contatto nei rapporti con quest’ultima.
L’articolo 37 del GDPR stabilisce, tra l’altro, i presupposti che rendono la designazione del DPO obbligatoria:
il trattamento di dati personali è effettuato da un'autorità pubblica o da un organismo pubblico (salve le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
È previsto che un gruppo imprenditoriale possa nominare un unico Responsabile della protezione dei dati, a condizione che lo stesso sia facilmente raggiungibile da ciascuno stabilimento. Per le autorità o gli organismi pubblici, la normativa prevede la possibilità di designare un unico Responsabile della protezione dei dati per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Il GDPR dispone inoltre la necessità per il titolare (o il responsabile) del trattamento di pubblicare i dati di contatto del Data Protection Officer e di comunicarli all'autorità di controllo.