DPO sta per Data Protection Officer, figura che in italiano viene chiamata Responsabile della Protezione dei Dati (RPD). Non è secondario conoscere il nome nella nostra lingua: nel testo italiano del GDPR la sigla DPO non compare e non si riuscirebbe mai a trovarlo! Ma è anche importate sapere chi è e che cosa fa questa figura, al di là del nome e della sigla utilizzata per individuarla, e che cosa la distingue dal titolare del trattamento e dal responsabile del trattamento.

Chi è il DPO?

Dipendente o consulente esterno, è il soggetto con competenze specialistiche sulla normativa e le prassi in materia di protezione dei dati personali che titolare o responsabile del trattamento devono nominare nel caso in cui

  1. il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (a eccezione delle autorità giurisdizionali che effettuano attività giurisdizionali);
  2. le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che per la loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali del titolare o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali, reati o a connesse misure di sicurezza.
DPO sta per Data Protection Officer, figura che in italiano viene chiamata Responsabile della Protezione dei Dati (RPD).

Negli altri casi titolare o responsabile del trattamento possono comunque nominare il DPO, ma diventa una loro scelta strategica.

Cosa deve fare il DPO

Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento e ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa relativa  alla protezione dei dati;
  2. sorvegliare sull’osservanza delle norme e delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con l’autorità di controllo;
  5. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
Il DPO è una figura consulenziale del titolare e/o del responsabile del trattamento.

Chi può nominare il DPO

La nomina deve essere fatta dal titolare del trattamento e/o dal responsabile del trattamento.

La scelta tra una figura e l’altra o da parte di entrambi dipende dalla struttura dell’organizzazione sotto il profilo del trattamento dei dati personali: per esempio, se il titolare è sempre presente, lo stesso non si può dire del responsabile del trattamento; o ancora, rispetto a una realtà che impone la nomina del DPO da parte del titolare, non è detto che tra i trattamenti eventualmente affidati a un responsabile del trattamento vi siano casi in cui la nomina del DPO sia necessaria.

La differenza tra DPO, titolare e responsabile del trattamento

Il titolare del trattamento è il soggetto al vertice del sistema di protezione dei dati personali in una data realtà aziendale, il responsabile del trattamento è un soggetto subordinato al titolare che tratta per suo conto dati personali e che deve garantire il rispetto delle misure di sicurezza richieste dalla normativa e dal titolare, mentre il DPO è una figura consulenziale del titolare e/o del responsabile del trattamento.

C'è differenza tra DPO, titolare e responsabile del trattamento.

Attenzione a non confondersi per somiglianza tra i nomi: il responsabile del trattamento è un soggetto distinto e con responsabilità diverse dal responsabile della protezione dei dati, non si tratta di due sinonimi!