Il Responsabile della Protezione dei Dati Personali (anche conosciuto con la dizione inglese– DPO) è una figura prevista dall’art. 37 del GDPR 2016/679.

Si tratta di un soggetto designato dal Titolare o dal Responsabile del Trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Il Responsabile della protezione dei dati personali deve possedere conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Il DPO coadiuva il Titolare nell’adozione del complesso di misure attuative (anche di sicurezza, quali videosorveglianza ecc.); deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici; deve poter disporre, infine, delle risorse (materiali, tempistiche, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Sono tenuti alla designazione del Responsabile della Protezione dei Dati personali il Titolare e/o il Responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento UE 2016/679.

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura anche nelle realtà aziendali in cui tale designazione non è obbligatoria per legge.

È consigliabile che il DPO sia una figura esterna all’azienda per garantire la necessaria autonomia dovuta alla delicatezza dei suoi compiti.

 

Articolo 39 GDPR: Compiti del responsabile della protezione dei dati (C97)

Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo; e

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.