Come già accennato in un nostro precedente articolo riguardante la privacy e il trattamento dei dati personali nel mondo dei social network, in particolare nella nuova piattaforma denominata Clubhouse, il Regolamento europeo 679/2016, entrato in vigore il 25 maggio 2018, introduce la figura del DPO (Data Protection Officer).
Chi è il DPO e quali sono le sue responsabilità?
Molti esperti in materia, inizialmente, si sono definiti molto scettici sulla figura e sulle funzioni svolte dal Responsabile della protezione dei dati; questo è rinvenibile dal fatto che, normalmente, le figure di cui realmente necessita il mondo del lavoro nascono proprio nel o dal mercato, tale posizione lavorativa invece nasce in una dimensione definita “artificiale” ovvero il legislatore l’ha definita, affermando la necessità di questo ruolo nelle aziende.
Tuttavia, a distanza di tre anni, tale figura sta prendendo piede, dalle piccole imprese alle multinazionali che nominano il loro DPO come professionista esterno, piuttosto che interno.
Il DPO viene normato nel Capo IV, Sezione 4, artt. da 37 a 39, del Regolamento che ne definisce la modalità di designazione, la sua pozione e i suoi compiti.
Si può in un certo senso definire il responsabile del trattamento dei dati come una sorta di “evoluzione” del privacy officer, già presente in azienda, ma con delle caratteristiche peculiari.
Innanzitutto, la competenza del DPO è specifica ed è basata su una vasta e metabolizzata esperienza nel settore e sull’indipendenza e autorevolezza nei confronti sia del titolare dell’azienda sia del Garante, in quanto come viene spesso specificato, il DPO è una figura di intermediazione tra titolare e Garante.
Successivamente, è possibile affermare che, data l’essenzialità del requisito di indipendenza, sarebbe auspicabile che il DPO fosse nominato esternamente all’azienda, dato il rischio concreto e non teorico di conflitto d’interesse. È da segnalare infatti che nel caso in cui il DPO sia anche dipendente il rischio di conflitto d’interessi e di volgarizzazione e influenza sul trattamento dei dati è molto frequente. È tuttavia possibile ricorrere a questa strada, ma con delle limitazioni: il Responsabile interno non deve sottostare, bensì riportare al CdA le sue verifiche e valutazioni, inoltre non può assolutamente avere a che fare con le funzioni di business aziendale, ovvero con tutte quelle funzioni che hanno capacità di spesa pertanto non deve essere inquadrato in aree come l’IT, la finanza, il marketing o le vendite ma piuttosto nell’area legale o di compliance aziendale.
Nel caso di multinazionale, per quanto attiene l’unicità di questa figura per le diverse sedi di un unico grande gruppo, è prevista per legge la possibilità di suddetta situazione ma è necessario porre particolare attenzione al fatto che un unico DPO, non ha la capacità di arrivare in tutte le legislazioni dei diversi paesi dove sono locate le sedi, pertanto sarebbe corretto che tale figura abbia una funzione locale e non globale.
Venendo poi più nello specifico ai compiti concreti svolti, il DPO deve informare e consigliare il titolare nonché i dipendenti su tutti gli obblighi derivanti dall’applicazione delle norme previste in materia di privacy; verificare che predette norme siano attuate; ser richiesto fare una valutazione d’impatto sulla protezione dei dati e cooperare con il Garante in merito alle problematiche che potrebbero presentarsi. Altra importante funzione è quella della compilazione del registro dei data breach (letteralmente definito come fuga di dati) ovvero il registro che notifica le violazioni, dolose o colpose dei dati personali.
In conclusione, la scelta di introdurre la figura del DPO in azienda è doverosa nonché opportuna per prevenire errate policy in materia di privacy e di conseguenza svincolarsi da possibili sanzioni non solo amministrative ma anche penali, tuttavia, diverse aziende e pubbliche amministrazioni devono ancora adeguarsi alle disposizioni del Regolamento UE. Si suggerisce pertanto a tutte le imprese e liberi professionisti che trattano dati “sensibili” di rivolgersi a un DPO competente per aggiornarsi. Per ulteriori informazioni e scoprire i servizi da noi offerti in materia di privacy e DPO visitate il nostro sito web .
Dual Solution S.r.l.
Dott.ssa Roberta Girardi
Vittorio Veneto, 8 marzo 2021
