GDPR: Ruolo, compiti e responsabilità del DPO

Continua il ciclo di articoli sul GDPR: come anticipato, questa volta per approfondire il ruolo e le attività che caratterizzano la figura del Data Protection Officer.

Se non avete ancora letto l’articolo introduttivo sul ruolo del DPO, vi consigliamo di leggerlo prima di procedere con questo: il GDPR è infatti un tema tecnico e piuttosto complesso, ragione per cui consigliamo di progredire per step in modo da comprendere tutte le sfaccettature della materia.

L’Art.39 comma 1 del GDPR: i compiti del Data Protection Officer

Nell’articolo 39 comma 1 del GDPR vengono riportate le mansioni principali del DPO, che riportiamo di seguito:

• informare e fornire supporto e assistenza al Titolare del trattamento, al Responsabile, nonché ai dipendenti coinvolti nel trattamento dei dati in merito agli obblighi derivanti dal GDPR;
• garantire la piena osservanza del GDPR, delle disposizioni nazionali e sovranazionali relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, come l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo;
• offrire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR;
• mantenere i rapporti con il Garante ed inviare le notifiche e comunicazioni previste dalla legge;
• fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento;
• essere membro del team di gestione della crisi, in modo da supervisionare le criticità connesse a un eventuale Data Breach.

Dal comma 1 dell’Articolo 39 è possibile evincere che il DPO non dovrebbe avere compiti di natura operativa: non si dovrebbe occupare, ad esempio, della redazione delle informative, delle nomine a Responsabili od Autorizzati, tantomeno occuparsi della redazione e dell’aggiornamento del Registro dei Trattamenti. Per quanto riguarda invece le Valutazioni d’Impatto (DPIA, Data Protection Impact Assessment) riguardo a nuovi trattamenti che potrebbero comportare rischi per gli interessati, il DPO dovrebbe essere coinvolto nel fornire un parere.

Abbiamo usato il condizionale perché la situazione reale è differente. Al di là di quanto detta la normativa nella pratica, i compiti di cui, si deve far carico il DPO vanno spesso ben oltre ai compiti sopra elencati nell’Art.39 che però, va specificato, sono meramente esemplificativi e non esaustivi. Ne deriva quindi che non è esplicitamente vietato attribuire al DPO compiti anche operativi come, ad esempio, il controllo e l’aggiornamento del Registro dei Trattamenti o la redazione di una DPIA.

L’importante è specificare bene il perimetro di tali compiti nel Contratto di Nomina se il DPO è esterno o nella lettera d’incarico se si tratta di dipendente interno. In definitiva, i compiti del DPO potrebbero essere riassunti in 6 punti chiave:

• Sorvegliare;
• Informare;
• Sensibilizzare e formare i dipendenti;
• Fornire pareri;
• Tenere i rapporti con il Garante;
• Essere il punto di riferimento principale in caso di Data Breach e valutare se procedere o meno alla notifica di una violazione.

Il Data Protection Officer: le responsabilità

Chiariti i compiti affidati al DPO, è bene chiarire un tema molto sentito dagli imprenditori: una delle domande più poste dai dirigenti che si apprestano a nominare un Data Protection Officer riguarda infatti le responsabilità del DPO in merito al trattamento e ad eventuali criticità che possono manifestarsi.

La risposta è nell’Art. 24 comma 1 del GDPR che chiarisce infatti che è compito del titolare (e non del DPO) mettere in atto le misure tecniche e organizzative adeguate per garantire (ed essere in grado di dimostrare) che il trattamento effettuato è conforme al regolamento.

La responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade quindi sul Titolare del trattamento, eventualmente in solido con il Responsabile del trattamento. Questo non significa però che il DPO non abbia nessuna responsabilità.

Il DPO potrebbe infatti rispondere a eventuali responsabilità correlate allo svolgimento dei suoi compiti (contrattuali o disciplinari, a seconda che si tratti di un soggetto interno o esterno all’azienda), nei confronti del Titolare del trattamento che potrà avvalersi quindi del diritto di rivalsa qualora, per colpa di gravi ed evidenti negligenze del DPO, abbia dovuto subire provvedimenti sanzionatori.

Conclusioni

In definitiva, al DPO non è possibile attribuire oneri e responsabilità inerenti alla Privacy, se non nei casi sopracitati.

Il suo ruolo dovrebbe essere considerato come di facilitatore, la cui esperienza e preparazione sia sugli aspetti giuridici che sulla protezione dei dati deve essere di supporto al Titolare ed ai Responsabili Esterni per prendere decisioni in materia Privacy.

Il consiglio che diamo alle aziende che si apprestano a nominare un DPO, a prescindere dall’obbligo, è quello di affidare questo delicato incarico a figure, esterne od interne, che abbiamo un’adeguata e comprovata preparazione, tenendo presente che non esiste ancora una certificazione specifica obbligatoria per questo ruolo.

Fondamentale anche, oltre alla formulazione di un contratto (esterno) o di una lettera d’incarico (interno) più chiaro e preciso possibile, sia per quanto riguarda ruolo e compiti da attribuire al DPO che per quelli che spettano al Titolare, valutare accuratamente la preparazione tecnica e professionale di questa figura, dato l’impatto che potrebbe avere su questi delicati temi.