Gli articoli 37, 38 e 39 del Regolamento Europeo 679/2016 in materia di trattamento dei dati personali, introducono e disciplinano la nuova figura del Responsabile Protezione Dati, denominato anche Data Protection Officer (DPO).

Tale figura, al di là di chi la incarica (piccole e medie imprese, enti no profit, liberi professionisti, enti pubblici, aziende di grandi dimensioni), è una figura chiave per gli adempimenti delle procedure e della normativa privacy: il DPO, oltre che presidio per il rispetto delle norme, basato sulla conoscenza specialistica e su competenze multidisciplinari (diritto, sistemi informativi, analisi dei processi, organizzazione e gestione aziendale), deve essere garanzia di terzietà, indipendenza, autonomia ed autorevolezza.

Il GDPR individua i casi nei quali è previsto un obbligo di designazione del DPO. Egli deve essere sistematicamente designato dal titolare o dal responsabile del trattamento:

• Quando il trattamento dei dati viene effettuato da un’autorità pubblica;
• Quando le attività del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• Quando le attività del titolare consistono nel trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 GDPR;

Corre l’obbligo di segnalare che la nomina del DPO, nei casi diversi da quelli esposti, per i quali è obbligatoria, può essere anche facoltativa: la sua designazione è un’opportunità che gli enti possono cogliere anche per strutturare un’organizzazione funzionale interna.

Di seguito segnalo le attività prevalenti che svolgo quotidianamente per gli enti che mi hanno designato:

• Assistenza e consulenza al titolare ed ai responsabili del trattamento sulla conformità delle operazioni di trattamento al GDPR;
• Sensibilizzazione, assistenza e formazione del personale dipendente che effettua i trattamenti;
• Pareristica sulle valutazioni d’impatto;
• Disponibilità al confronto con gli interessati per informarli accuratamente sui trattamenti che li riguardano;
• Cooperazione con l’Autorità Garante della Privacy (con richiesta di informazioni su corretta gestione dei trattamenti)

• il diritto all’indipendenza nell’esercizio della funzione;
• il diritto al riconoscimento alla sua autorevolezza;
• il diritto di non esclusività nei compiti attribuiti (può svolgere altre ulteriori attività nello stesso contesto, ma può ricoprire incarichi aggiuntivi presso altri soggetti, qualora venisse designato con un contratto di servizi).

• deve riferire criticità o problematiche rilevate e relazionarsi direttamente con titolare e responsabile del trattamento;
• deve rendersi disponibile nei confronti degli interessati al trattamento, informandoli sui trattamenti ad essi riferibili e fugando ogni loro dubbio;
• è tenuto alla massima riservatezza nell’assolvimento dei compiti che attengono al suo incarico.

• informare e fornire consulenza sugli obblighi previsti dal regolamento;
• sorvegliare l’osservanza del regolamento, l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti;
• fornire pareri, se richiesto, in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
• svolgere attività di cooperazione e di raccordo con l’autorità di controllo;
• effettuare un’attenta valutazione dei rischi connessi all’attività di trattamento dei dati.