Chi è, cosa fa e quali sono le competenze richieste per il responsabile della protezione dei dati (DPO)? Una figura professionale sempre più centrale per il futuro delle aziende.
Una delle figure più importanti nell’ambito della protezione dei dati personali è certamente il Responsabile della Protezione dei Dati (RPD), meglio noto nell’acronimo di lingua inglese DPO (Data Protection Officer).
Sebbene tale figura sia divenuta di pubblico dominio a seguito dell’entrata in vigore del Regolamento Europeo 2016/679 (d’ora innanzi anche GDPR), la sua comparsa è antecedente alla suddetta norma, tanto da essere rintracciabile sin dai tempi di vigenza della normativa 95/46/CE3.
In questo breve articolo saranno analizzati i tratti essenziali della figura del Responsabile della Protezione dei Dati, dalle disposizioni normative che ne disciplinano l’individuazione alle modalità operative per la designazione e la comunicazione l’Autorità Garante per la Protezione dei Dati personali.
Chi è il DPO ovvero il responsabile della protezione dei dati?
Il Responsabile della Protezione dei Dati (da ora in poi anche “DPO” o “RPD”) è un soggetto autonomo e indipendente nei confronti dell’azienda insignito di funzioni di supporto, controllo, consultazione, formazione e informazione per quanto attiene alla corretta applicazione del GDPR.
Una volta designato, il DPO svolge i suoi compiti fungendo da punto di contatto e di raccordo con gli interessati e con l’Autorità Garante per la Protezione dei Dati personali (da ora in poi anche solo “Autorità” o “Garante”).
Secondo quanto premesso e in relazione alle funzioni individuate dall’art. 39 del GDPR, il DPO deve essere selezionato con metodo e tra soggetti dotati di adeguate competenze specialistiche.
Tale figura deve, infatti, poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando l’azienda nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui si opera.
A tal fine, il DPO deve possedere competenze professionali trasversali in ambito giuridico, informatico e di risk management, nonché soft skill che consentano di rivestire tale ruolo al meglio.
A tal proposito, è bene precisare che, ad oggi, non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi per ricoprire l’incarico: l’unico requisito necessario, sotto il profilo delle competenze, attiene al possesso di una approfondita conoscenza della normativa e delle prassi in materia di gestione, trattamento, protezione dei dati personali e tutela della privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento dell’azienda o dell’ente presso cui si svolge l’incarico.
L’autonomia e l’indipendenza del responsabile della protezione dei dati
La centralità del ruolo si evince non solo dai compiti affidati al DPO o dalla necessità che lo stesso sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, ma anche dal sistema di tutele volte a preservarne l’autonomia e l’indipendenza.
Una volta individuato, per poter svolgere il proprio incarico nel pieno rispetto del GDPR, il DPO deve:
- esser dotato delle risorse consone allo svolgimento del suo ruolo (personale, locali, attrezzature, ecc.). Tali risorse potranno essere a carico del DPO solo previa specifica pattuizione in tal senso;
- esser libero di adempiere al suo compito nei modi ritenuti più opportuni, senza ricevere alcun tipo di istruzioni da parte dell’azienda;
- essere esente da alcun tipo di penalizzazione o, peggio, rimozione dal suo ruolo a causa dello svolgimento dei suoi compiti;
- garantire di non trovarsi in una situazione di conflitto di interessi con l’azienda.
Il legislatore europeo quindi, attraverso un sistema di attribuzione di compiti e tutele, riconosce il ruolo centrale del DPO nel guidare l’azienda nella realizzazione di modelli organizzativi a norma del Regolamento EU 2016/679.
Il DPO deve essere un soggetto interno oppure un soggetto esterno all’azienda?
Il ruolo del DPO può essere ricoperto sia da un soggetto interno sia da uno esterno all’azienda.
L’unico vincolo comune a entrambe le ipotesi – in aggiunta alle conoscenze specialistiche, capacità professionali e qualità professionali che deve dimostrare di possedere – è dato dalla necessità di garantire l’assenza di un potenziale conflitto di interessi con la società.
Con riguardo all’ipotesi di DPO individuato in un soggetto interno, l’Autorità ha precisato che, al fine di garantire l’assenza del conflitto di interessi
“appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.).
Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale)”.
Articolo originale pubblicato su Informazione Fiscale qui: Il Responsabile della protezione dei dati