Il ruolo del Data Protection Officer
Il Data Protection Officer (Dpo) – in italiano Responsabile della Protezione dei Dati (Rpd) – è una figura professionale introdotta dal Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679), che dal 2016 ha dettato una nuova impostazione e disciplina per gli Stati membri UE creando un riferimento unitario su cui poter – alcuni più di altri in base alla situazione di partenza – modellare la tutela offerta ai dati personali ed agli interessati.
Benché storicamente già presente in alcune legislazioni europee, in Italia fa la prima comparsa proprio attraverso il GDPR che alla sez 4 ne disciplina ambito di nomina, ruolo e funzioni.
La nomina di questa figura non deve essere vista come mera attività burocratica, ma al contrario come un punto chiave di riferimento tra l’organizzazione, gli interessati (i cui dati sono trattati) e l’Autorità Garante, col precipuo scopo di osservare, valutare ed organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno degli enti sia pubblici che privati, garantendo la compliance alla normativa nazionale ed europea, come espressamente dettato dall’art. 39 del GDPR.
L’intento del legislatore europeo nasce dalla consapevolezza della necessità di trovare un equilibrio tra la gestione aziendale (senza appesantirla) ed un’adeguata tutela degli interessati. Infatti la nomina del Dpo è obbligatoria solo nei casi specificatamente indicati all’art. 37, ossia ogniqualvolta: “a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”
Nonostante possa sembrare strano parlare di gestione dell’ente in riferimento al Dpo e dunque alla privacy, si tenga conto che soprattutto con l’avvento della Direttiva Nis 2 in ambito di cybersicurezza, il tema della privacy è stato assorbito – seppur indirettamente – in quello degli adeguati assetti organizzativi ex art. 2086 c.c. la cui responsabilità, in caso di mancata o inadeguata predisposizione ed adozione, ricade proprio sull’organo gestorio della società. Basti pensare alla sinergia che sussiste tra Codice della Crisi e dell’Insolvenza ed il Modello organizzativo di gestione e controllo (Modello 231) ed alla ulteriore complementarietà tra quest’ultimo ed il Modello Organizzativo Privacy (MOP) per comprendere quanto siano strettamente correlati ed interconnessi questi sistemi.
Tornando al Dpo, inquadrati i casi in cui la nomina si rende necessaria, è importante spiegare nella sostanza il perché, tenendo conto del fatto che questi potrà essere tanto un soggetto interno all’azienda quanto esterno e quindi terzo.
Si pensi alle organizzazioni che gestiscono categorie particolari di dati, come ad esempio le strutture sanitarie, disciplinati all’art. 9 del GDPR, oltre che, potenzialmente, dati su larga scala. È agevole comprendere come sia necessario mettere in atto delle misure tecniche ed organizzative costantemente monitorate ed aggiornate al fine di garantire un trattamento che rispetti i diritti degli interessati, offrendo un livello di tutela adeguata per tutta la durata dello stesso. Un potenziale data breach (incidente di sicurezza in cui i dati raccolti vengono resi accessibili, esposti o sottratti da una persona non autorizzata) esporrebbe a rischi elevati i dati raccolti, con conseguenti risvolti sugli interessati e sull’azienda se non in grado di intervenire prontamente per far fronte al problema e recuperare i dati o quanto meno bloccarne la divulgazione. Un approccio doveroso è quello della prevenzione, che si può ottenere non soltanto valutando bene i rischi cui sono esposti i dati in base alle finalità per cui vengono raccolti, ma anche e soprattutto attraverso un costante monitoraggio del trattamento, delle modalità con cui lo stesso avviene, e la costante formazione a tutti coloro che, su indicazione del titolare del trattamento vengono a contatto o si trovano a gestire questi dati (si pensi al Responsabile del trattamento, ai sub responsabili, o ancora agli autorizzati al trattamento, ecc…).
Ed ecco dunque che interviene il Dpo, occupandosi prima facie proprio di questi aspetti, oltre che a fungere, come già detto, da intermediario anche con l’Autorità Garante e con gli interessati. Attraverso infatti consulenze mirate richieste dal Titolare o dal Responsabile del trattamento, pareri sulle valutazioni d’impatto sulla protezione dei dati (Dpia), monitoraggio ed aggiornamento delle policies, audit interni periodici e formazione continua, va a costituire perno portante del sistema privacy, mantenendo sempre la propria indipendenza rispetto all’organizzazione che lo ha nominato.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Avv. Emmanuele Zappatore
Avvocato
Ultimi post di Avv. Emmanuele Zappatore (vedi tutti)
- Il ruolo del Data Protection Officer - 1 Dicembre 2025
- Conseguenze del pagamento dei dipendenti in contanti - 19 Luglio 2025
- Adempimenti fiscali nel sequestro antimafia - 26 Giugno 2024
