Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (pubblicato sulla Gazzetta Ufficiale europea L. 119 del 4 Maggio 2016)
Il DPO è designato dal titolare o dal responsabile del trattamento per fornire supporto e controllo relativamente all’applicazione del GDPR.
Tutti gli enti pubblici devono nominare un soggetto qualificato che si occupi della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza. Anche le aziende o le organizzazioni private che presentano determinate caratteristiche nei trattamenti di dati personali.
Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante ecostituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
PRINCIPALI COMPITI DEL DPO
Il responsabile della protezione dei dati personali non è richiesta l’iscrizione ad appositi Albi. I soggetti privati dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenza ed esperienza specifica.
La figura del DPO dovrà avere un’approfondita conoscenza della normativa e della prassi in materia di privacy nonché la padronanza delle norme e delle procedure amministrative che caratterizzeranno lo specifico settore di riferimento.
Sarà opportuno privilegiare soggetti che possano dimostrare qualità professionali ed esperienze adeguate alla complessità del compito da svolgere, comprovate e documentate.
CERTIFICAZIONI IDONEE A LEGITTIMARE IL DPO
Per la figura del DPO si sono diffusi degli schemi di certificazione volontaria delle competenze. Si pensi alla norma ISO 11697/2017. Queste attestazioni ad ogni modo non equivalgono ad una “abilitazione” del ruolo né, allo stato, sono idonee a sostituire il giudizio rimesso alle Pubbliche Amministrazioni nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del GDPR.
Al Responsabile della Protezione dei Dati Personali non sono richieste specifiche attestazioni formali o iscrizione in appositi albi.
Il DPO ad ogni modo deve necessariamente possedere un’approfondita conoscenza della normativa nonché delle procedure amministrative del settore specifico di riferimento.
La figura in questione deve essere in grado di progettare, verificare e mantenere un sistema di gestione dei dati personali organizzato comprensivo di tutte le misure – anche di sicurezza – e le garanzia adeguate al contesto in cui è chiamato ad operare.
Deve avere piena indipendenza (Rif. Considerando n. 97 del Regolamento UE 2016/679) ed autonomia riferendo direttamente ai vertici delle organizzazioni.
Il DPO deve disporre, infine di adeguate risorse (personale, locali, attrezzature etc.,) utili all’espletamento dei propri compiti.
IL RUOLO DI DPO È COMPATIBILE CON ALTRI INCARICHI?
DPO COME PERSONA FISICA O GIURIDICA
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (Art. 37, par. 6, del Regolamento).
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.
LE RESPONSABILITÀ DEL DPO
Il Considerando 146 del Regolamento sottolinea che il titolare o il responsabile del trattamento devono risarcire i danni causati a una persona da un trattamento non conforme al GDPR, a meno che questi non riescano a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
Il riferimento congiunto al titolare e al responsabile è volto ad ottenere la massima tutela degli interessati, al fine di garantire agli stessi il pieno ed effettivo risarcimento per il danno subito.
Conseguentemente, qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento sarà chiamato a rispondere, in solido, per la totalità̀ del danno, salvo dimostri che l’evento dannoso non gli sia imputabile e fermo restando, in ogni caso, il diritto di proporre un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nel medesimo trattamento.
Nello specifico, l’art. 82 GDPR stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
LA DISTRIBUZIONE DELLE RESPONSABILITÀ
Ciò premesso, la norma chiarisce che un titolare del trattamento risponde per il danno cagionato dal trattamento che violi il presente regolamento, mentre il soggetto nominato responsabile del trattamento ai sensi dell’art. 28 GDPR risponde solo in caso di inadempimento degli obblighi del GDPR specificatamente diretti ai responsabili del trattamento ovvero qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il contratto stipulato tra titolare e responsabile proprio per dirimere tutti gli aspetti relativi alla nomina di questi nell’ambito di uno o più trattamenti di dati dovrebbe essere la sede adatta anche per prevedere allocazioni preventive di responsabilità e delle eventuali azioni rimediali.
Quanto, infine, alla responsabilità del “Data Protection Officer”, si evidenzia che lo stesso ha certamente responsabilità contrattuali nei confronti del titolare del trattamento, ma non potrà essere responsabile nei confronti degli interessati in caso di inosservanza degli obblighi in materia di protezione dei dati personali.
Ricordiamolo ancora una volta: tale responsabilità resta in capo al titolare e non è in alcun modo delegabile, anche in virtù del principio di accountability: è il titolare che deve essere in grado di dimostrare la liceità del trattamento e la non imputabilità alla propria condotta di eventuali danni a terzi per poter evitare di incorrere nelle sanzioni sopra illustrate.
