Tra le più importanti novità introdotte dal Regolamento Europeo 2016/679 (General Data Protection Regulation, Gdpr) vi è sicuramente la figura del Data Protection Officer (DPO, ovvero Responsabile della Protezione dei Dati, RPD). Una delle funzioni principali del responsabile della protezione dei dati è quella di sorvegliare la corretta e lecita applicazione della normativa contenuta nel Gdpr da parte delle società. I compiti principali di questa figura sono previsti dall’art. 39 del Gdpr e possono così sintetizzarsi:
» Fornire consulenza al titolare e al responsabile del trattamento relativamente agli obblighi derivanti dal Gdpr o dalle altre disposizioni in merito alla protezione dei dati;
» Vigilare sull’applicazione del Regolamento da parte del titolare del trattamento o del responsabile del trattamento in tutte le sue parti;
» Fornire pareri in merito alla Dpia (Data Protection Impact Assesment, ovvero Valutazione di impatto sulla protezione dei dati personali) e vigilare sulla sua esecuzione;
» Cooperare con l’autorità di controllo (In Italia, Garante per la protezione dei dati personali) e fungere da punto di contatto con essa per questioni connesse al trattamento, anche nei casi di violazione di dati personali.
Secondo la disciplina del Gdpr, la nomina del DPO risulta obbligatoria nei seguenti casi:
» Se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
» Se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
» Se le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
La mancata designazione del responsabile della protezione dei dati nelle ipotesi predette comporta una sanzione amministrativa pecuniaria fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato totale mondiale annuo dell’esercizio precedente, se superiore. Anche nell’eventualità in cui un’azienda non dovesse rientrare nelle ipotesi di obbligatorietà, sicuramente prendere in considerazione la nomina di un DPO può comportare diversi vantaggi, in quanto si tratta di una figura professionale molto utile e dotata di competenze specialistiche nell’ambito del presidio del rischio legato al trattamento di dati personali. Un’azienda, in merito alla designazione di un DPO, ha due opzioni: nominare un soggetto esterno, oppure nominare un soggetto interno dell’azienda. Tra queste due ipotesi, risulta essere preferibile la scelta di un DPO esterno, in quanto deve trattarsi di un soggetto neutrale e indipendente. Il titolare o il responsabile, infatti, non devono dare alcuna istruzione in merito all’esecuzione dei compiti del DPO, che deve svolgere le proprie funzioni in maniera indipendente (considerando 97 Gdpr). È evidente che un soggetto interno difficilmente potrà rimanere indifferente dai condizionamenti della direzione, con ovvie ricadute sulla sua indipendenza e neutralità. Questo ci porta a un altro aspetto positivo legato alla scelta di un DPO esterno: l’esperienza. I professionisti sono costantemente aggiornati e si interfacciano con realtà anche molto diverse tra loro, risultando più adattabili e flessibili.