03 Mag NOMINA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI: LE FAQ DEL GARANTE DELLA PRIVACY.
L’autorità garante per la protezione dei dati personali ha recentemente pubblicato le FAQ in materia di requisiti e nomina dell’innovativa figura prevista dal GDPR.
Il responsabile della protezione dei dati personali (data protection officer – DPO) è una figura professionale prevista dall’art. 37 del Regolamento (UE) 2016/679, incaricata dal titolare o dal responsabile del trattamento per lo svolgimento di funzioni di controllo, consultive, formative e informative, nonché di funzioni di cooperazione e raccordo con l’Autorità garante. L’individuazione di un DPO è obbligatoria solo per le società che svolgono le attività di trattamento dei dati indicate all’art. 37, par. 1, lett. b) e c) del GDPR, ma è raccomandata anche per gli altri enti non obbligati.
Un primo aspetto da chiarire è legato ai requisiti che il DPO deve possedere. Secondo il Garante, egli dovrà possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme caratterizzanti lo specifico settore di riferimento. Inoltre, il DPO dovrà soddisfare i requisiti di indipendenza ed autonomia e dovrà poter disporre di mezzi economici e strumentali adeguati allo svolgimento dell’incarico.
Con particolare riferimento al requisito di indipendenza, ci si è chiesti se il DPO possa essere individuato in una figura interna all’ente o se debba essere un soggetto esterno. Il Garante ha ritenuto accettabili entrambe le soluzioni; tuttavia, se il DPO incaricato è un soggetto interno, egli non deve versare in conflitto di interessi, mentre se è un soggetto esterno – non essendo, di norma, a conoscenza della realtà operativa della società titolare del trattamento – deve poter garantire l’effettivo assolvimento dei compiti che il Regolamento gli affida. L’Autorità ha poi sottolineato che, in assenza di conflitto di interessi, il ruolo di DPO non è incompatibile con altri incarichi. Sarebbe però preferibile evitare di assegnare tale ruolo a soggetti con incarichi di alta direzione o che abbiano potere decisionale in ordine alle finalità e alle modalità del trattamento.
Inoltre, il DPO-soggetto interno non potrà che essere una persona fisica (anche se a capo di un intero ufficio), mentre il DPO esterno potrà anche coincidere con una persona giuridica. In quest’ultima ipotesi, sarà comunque necessaria l’individuazione di una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.
Da ultimo, quanto alle modalità di nomina, il Garante si è limitato a precisare che il soggetto interno sarà individuato mediante specifico atto di designazione, mentre quello scelto all’esterno dovrà operare in base a un contratto di servizi.