Tra le maggiori novità del Regolamento Europeo 2016/679 sulla protezione dei dati personali (c.d. "GDPR") rientra sicuramente la previsione del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO), anche se il centro del nuovo sistema posto in essere dal GDPR rimane sempre il Titolare del trattamento.

Il Responsabile della Protezione dei Dati o DPO, a norma dell'art. 37 del Regolamento, è il soggetto designato dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR.

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.

Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

Come precisato dal Garante, le Pubbliche Amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (DPO) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

L'Autorità ha inoltre chiarito che la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del DPO.

La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati.

Il DPO, ai sensi dell'art. 38 del Regolamento, deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento.

Il DPO deve, inoltre, godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l'esecuzione dei propri compiti. Inoltre il Regolamento specifica, all'art. 38, che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Quali i compiti affidati al DPO?

L'articolo 39 del Regolamento individua i compiti del DPO:

informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; sorvegliare l'osservanza del Regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

Quale ente pubblico deve nominare il DPO?

Il Regolamento Europeo stabilisce che i Titolari e i Responsabili del trattamento designino un DPO quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico; non sono comprese le autorità giurisdizionali quando esercitano le loro funzioni.

Il Regolamento non fornisce però la definizione di "autorità pubblica" o "organismo pubblico", ma lascia che sia il diritto nazionale ad individuarli.

Devono ritenersi tenuti alla designazione i soggetti ai sensi degli artt. 18 - 22 del Codice:

- le amministrazioni dello Stato, anche con ordinamento autonomo,

- gli enti pubblici non economici nazionali, regionali e locali,

- le Regioni e gli enti locali,

- le università,

- le Camere di commercio, industria, artigianato e agricoltura,

- le aziende del Servizio sanitario nazionale,

- le autorità indipendenti ecc.

La nomina poi è fortemente raccomandata per i soggetti privati che esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici).

Nel caso in cui si procedesse con una nomina, si applicherebbero gli stessi requisiti che valgono per i DPO designati su base obbligatoria.

Qualora, poi, il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Come deve essere nominato il DPO?

Se la scelta ricadesse su un professionista interno all'ente, servirebbe formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati". Qualora invece, si ricorresse a soggetti esterni all'ente, la designazione costituirà parte integrante del contratto di servizi.

Indipendentemente dalla natura e dalla forma dell'atto scelto, è necessario che nello stesso sia individuato:

- il soggetto che opererà come DPO,

- i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del GDPR),

- le funzioni che questi sarà chiamato a svolgere.

Nell'atto di designazione devono risultare anche le motivazioni che hanno portato alla nomina della persona fisica selezionata, così da consentire la verifica del rispetto dei requisiti previsti dal GDPR. Una volta individuato il DPO, il titolare o il responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i suoi dati di contatto, pubblicando gli stessi anche sul proprio sito internet e a comunicarli al Garante.

