DPO sta per Data Protection Officer, figura che in italiano viene chiamata Responsabile della Protezione dei Dati (RPD). Non è secondario conoscere il nome nella nostra lingua: nel testo italiano del GDPR la sigla DPO non compare e non si riuscirebbe mai a trovarlo! Ma è anche importate sapere chi è e che cosa fa questa figura, al di là del nome e della sigla utilizzata per individuarla, e che cosa la distingue dal titolare del trattamento e dal responsabile del trattamento.
Chi è il DPO?
Dipendente o consulente esterno, è il soggetto con competenze specialistiche sulla normativa e le prassi in materia di protezione dei dati personali che titolare o responsabile del trattamento devono nominare nel caso in cui
- il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
- le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.
Negli altri casi titolare o responsabile del trattamento possono comunque nominare il DPO, ma diventa una loro scelta strategica.
Cosa deve fare il DPO
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa relativa alla protezione dei dati;
- sorvegliare sull’osservanza delle norme e delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità di controllo;
- fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
Chi può nominare il DPO
La nomina deve essere fatta dal titolare del trattamento e/o dal responsabile del trattamento.
La scelta tra una figura e l’altra o da parte di entrambi dipende dalla struttura dell’organizzazione sotto il profilo del trattamento dei dati personali: per esempio, se il titolare è sempre presente, lo stesso non si può dire del responsabile del trattamento; o ancora, rispetto a una realtà che impone la nomina del DPO da parte del titolare, non è detto che tra i trattamenti eventualmente affidati a un responsabile del trattamento vi siano casi in cui la nomina del DPO sia necessaria.
La differenza tra DPO, titolare e responsabile del trattamento
Il titolare del trattamento è il soggetto al vertice del sistema di protezione dei dati personali in una data realtà aziendale, il responsabile del trattamento è un soggetto subordinato al titolare che tratta per suo conto dati personali e che deve garantire il rispetto delle misure di sicurezza richieste dalla normativa e dal titolare, mentre il DPO è una figura consulenziale del titolare e/o del responsabile del trattamento.
Attenzione a non confondersi per somiglianza tra i nomi: il responsabile del trattamento è un soggetto distinto e con responsabilità diverse dal responsabile della protezione dei dati, non si tratta di due sinonimi!
Commenti recenti