DPO: Il Data Protection Officer, tra responsabilità vitali e controversie moderne

Tra gli obblighi principali stabiliti dal GDPR vi è quello per alcune aziende di riorganizzare la propria struttura interna per includere un DPO, acronimo di Data Protection Officer. Questa figura professionale è già riconosciuta in molte legislazioni europee. Negli ordinamenti anglosassoni, ad esempio, si trovano già da tempo ruoli come Chief Privacy Officer (CPO), Privacy Officer e Data Security Officer.

A partire dal 25 maggio 2018, la nomina di un DPO è obbligatoria in tutti i 28 Stati dell’Unione Europea, ossia anche in Italia, diventando un elemento cruciale per la tutela dei dati personali. Tuttavia, nonostante la rilevanza della figura del DPO, persistono questioni controverse che hanno generato dibattiti e interpretazioni sul Regolamento n. 2016/679. Esistono infatti molti aspetti poco chiari riguardo all’obbligo di nomina e alle competenze del DPO.

Chi è il Data Protection Officer (DPO)

Il Data Protection Officer è una figura professionale specializzata con competenze in ambito informatico, giuridico, di valutazione del rischio e analisi dei processi. Il DPO ha il compito principale di monitorare, valutare e gestire il trattamento dei dati personali, garantendo il rispetto delle normative europee e nazionali riguardanti la privacy. Diverse fonti offrono chiarimenti sulle caratteristiche richieste per questa figura, con linee guida emanate dal WP29 a livello comunitario e FAQ del Garante per la protezione dei dati personali a livello nazionale, aggiornate nel maggio 2021.

È importante notare che l’articolo 37 del Regolamento non specifica le qualità professionali necessarie per ricoprire il ruolo di DPO. Tuttavia, è evidente che il candidato scelto deve avere una comprovata esperienza nella legislazione sulla protezione dei dati personali, sia a livello nazionale che europeo, oltre a una conoscenza approfondita del Regolamento stesso.

In un provvedimento del novembre 2021, l’Autorità Garante per la protezione dei dati personali del Lussemburgo ha stabilito che il DPO deve avere almeno tre anni di esperienza in materia di protezione dati per essere validamente nominato. Tuttavia, un rapporto dell’EDPB del 2024 ha evidenziato come molti DPO lamentino una formazione insufficiente in materia di cybersecurity e protezione dei dati, chiedendo maggiore investimento in percorsi formativi e aggiornamenti professionali. Le autorità di controllo nazionali sono state invitate a intensificare la sensibilizzazione su tali questioni.

Data Protection Officer: cosa dice l’articolo 38

Nel caso di un ente pubblico o di un organismo pubblico, il DPO deve anche conoscere le regole e le procedure dell’organizzazione amministrativa. È certo che il DPO può essere un professionista esterno o un dipendente del titolare o del responsabile del trattamento. Tuttavia, vi è una significativa discordanza tra il ruolo del dipendente, che si trova a dover rispettare gli oneri di subordinazione, e l’articolo 38 del Regolamento, che stabilisce l’indipendenza del DPO. Questa incongruenza rende la sua funzione di garanzia già problematica. Recentemente, l’EDPB ha annotato diversi conflitti di interesse in cui DPO ricoprono ruoli aggiuntivi all’interno delle organizzazioni, compromettendo così la loro indipendenza. È essenziale che il DPO non sia subordinato a ruoli che possano influenzare la sua autonomia decisionale.

L’articolo 38 chiarisce che il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. Il legislatore europeo intende evitare nomine per affinità o sovrapposizione di mansioni, come ad esempio la nomina a DPO di un responsabile IT.

I requisiti del DPO

Le FAQ sul DPO in ambito pubblico del Garante chiariscono i requisiti che un dipendente deve possedere per essere nominato DPO. Se si opta per un DPO interno, è preferibile che la designazione sia conferita a un dirigente o a un funzionario di alta professionalità che operi in autonomia e indipendenza, collaborando direttamente con il vertice dell’organizzazione. Un’altra problematica emersa dal rapporto EDPB è la mancanza di risorse a disposizione dei DPO; molti professionisti riportano di non avere un budget adeguato né un team di supporto sufficiente. L’EDPB raccomanda che le organizzazioni prevedano risorse dedicate per garantire il corretto svolgimento delle attività di monitoraggio e consulenza.

Per quanto riguarda l’ambito privato, la nomina di un DPO per amministratori delegati, responsabili operativi, responsabili finanziari o di risorse umane sarebbe in conflitto di interessi e quindi non consentita.

Quali sono i compiti del DPO

La responsabilità primaria del Data Protection Officer è quella di sovraintendere alla gestione del trattamento di dati personali compiuta da aziende pubbliche e private nel rispetto delle normative sulla privacy.
In dettaglio, i compiti del DPO sono delineati dall’articolo 39 del Regolamento Europeo, che stabilisce che il DPO deve:

• Informare il Titolare e il Responsabile del trattamento circa gli obblighi legali derivanti dal Regolamento o da ulteriori normative dell’Unione;
• Controllare l’osservanza del Regolamento da parte del Titolare o Responsabile del trattamento, formando e sensibilizzando il personale interessato;
• Fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
• Collaborare con l’autorità di controllo, partecipando a consultazioni su eventuali questioni.

Quindi, il DPO deve essere un professionista dotato anche di qualità manageriali e organizzative, per suggerire al titolare di dati i cambiamenti tecnici e organizzativi più opportuni.

Per quali aziende è obbligatorio il DPO

Si riscontra una certa ambiguità riguardo all’applicazione delle regole sul DPO per le aziende private, con una potenziale applicazione interpretativa e soggetta al giudizio discrezionale dell’ente controllore. L’articolo 37 del Regolamento stabilisce che la nomina del DPO è obbligatoria quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico. Importante è anche che la nomina è obbligatoria anche per alcune aziende private.

Qui è dove le regole diventano più generiche e imprecise. Secondo l’EDPB, alcune aziende che avrebbero dovuto nominare un DPO non lo hanno fatto, mostrando una scarsa comprensione dei criteri di obbligatorietà. Le autorità di controllo nazionali hanno intensificato i controlli per garantire il rispetto dell’articolo 37 del GDPR, in particolare nei settori che trattano grandi quantità di dati sensibili o effettuano monitoraggi sistematici su larga scala.

Le attività principali del DPO

Che cosa si intende per “attività principali”? Ci si può riferire all’oggetto dell’attività imprenditoriale o a un passo necessario per raggiungerne lo scopo. Si può fare riferimento ad esempio all’attività delle cliniche private, dove la fornitura di servizi medici implica il trattamento di dati sensibili dei pazienti. Domande circa l’interpretazione delle “attività principali” potrebbero portare a controversie legali, soprattutto se si considera la possibilità di sanzioni.

Il significato di “larga scala”

Si chiede anche: cosa si intende per “larga scala”? Il Gruppo dei Garanti Ue (WP 29) ha tentato di rispondere, dichiarando che non è possibile fornire un numero preciso di dati trattati o persone interessate. Gli elementi considerati per definire un trattamento su larga scala sono:

• il numero di persone interessate e il volume di dati;
• la durata dell’attività di elaborazione dei dati;
• l’estensione geografica dell’attività di trattamento.

L’intervento del Garante privacy

È necessario considerare chi debba rivolgersi a un Data Protection Officer. In aggiunta a tutti gli enti locali, chi gestisce big data dovrà adeguarsi alle direttive normative. Anche compagnie di assicurazione, banche e fornitori di servizi di telecomunicazioni dovrebbero nominare un DPO. Anche gli studi legali che trattano un notevole volume di dati sensibili dovrebbero seguirne l’esempio. Inoltre, coloro che lavorano nel marketing o nel webmarketing, specialmente nelle attività di profilazione, dovrebbero farlo se il volume di dati lo richiede.

Il Garante per la protezione dei dati personali suggerisce, in ogni caso, che la designazione del DPO sia raccomandata anche in assenza di obbligatorietà, considerando il principio di accountability sotteso al GDPR. Nell’ultimo rapporto del 2024, l’EDPB ha sottolineato che la nomina di un DPO rappresenta oltre ad un obbligo normativo, un valore aggiunto per garantire conformità e trasparenza nella gestione dei dati personali. Le imprese che desiderano ridurre rischi legali e migliorare la fiducia dei clienti dovrebbero investire nel DPO, fornendo le risorse e l’autonomia necessarie per funzionare efficacemente.