DPO - cos'è ?

Data Protection Officer    tradotto in RPD (Responsabile per la protezione dei dati)

Gli articoli 37, 38 e 39 (sezione 4) del GDPR trattano della figura del DPO (Data Protection Officer) in particolare della designazione, della posizione e dei compiti.
L'articolo 37 ci spiega che la figura del Data Protection Manager (DPO) non sempre è necessaria:
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di trasporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi pubblicitari.
Diversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le aziende manifatturiere o del settore dei servizi pubblici (energia, ambiente ecc.).

Designazione del responsabile della protezione dei dati

(1) Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

(2) Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

(3) Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

(5) Il responsabile della protezione dei dati può anche essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

(6) Il titolare del trattamento o il responsabile del trattamento sono tenuti a pubblicare i dati di contatto del responsabile della protezione dei dati e di comunicarli all'autorità di controllo (Garante Privacy).
Inoltre il DPO deve essere dotato di totale autonomia nella gestione delle problematiche affidate e devono essergli fornite risorse necessarie all'assolvimento dei compiti.

Sarà probabile che molte aziende, pur non obbligate ad avere un DPO, si doteranno di una figura con tale incarico destinata a diventare il controller interno del Sistema Privacy.

Per ovvie ragioni è bene evitare di nominare DPO figure come il CIO (responsabile informatico dell'azienda) o membri del CDA in quanto si andrebbe normalmente in conflitto di interesse.
In questo ambito ci sono già in rete casi emblematici con pesanti sanzioni:
https://www.federprivacy.org/index.php?option=com_k2&view=item&id=247:privacy-ruolo-di-data-protection-officer-incompatibile-con-quello-di-manager-it&Itemid=526

Fonti WEB: Federprivacy,GDPR-Italy,CWS,CSQA