La sigla DPO sta per Data Protection Officer, in italiano Responsabile della Protezione Dati, ed è la persona che sarà responsabile del trattamento dei dati personali e quindi della loro protezione all’interno di un’azienda o di un ente pubblico.Il DPO deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse. Dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del Regolamento Europeo e della normativa sulla privacy e sulla normativa interna, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, consulenza e rilascio di pareri. Il Data Protection Officer, che potrà essere sia interno che esterno all’ente, sarà tenuto a cooperare con l’Autorità Garante e riferirà direttamente al vertice gerarchico del titolare del trattamento.
Il Data Protection Officer costituisce un punto di riferimento e di contatto per i Cittadini, che vi si possono rivolgere per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento europeo. L’identità e i dati di contatto del DPO devono essere riportati, nell’ottica di trasparenza verso i cittadini, nell’informativa privacy (art. 13, primo comma, lett.b) da rendere prima del conferimento dei dati da parte dei cittadini, devono essere pubblicati sul sito dell’ente (art.37) e contenuti anche nel registro dei trattamenti. Nell’eseguire i propri compiti il DPO considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Per quali aziende è obbligatoria la nomina del DPO?
Il dibattito sui casi in cui sia obbligatoria la nomina del Data Protection Officer è ancora aperto. Alcune linee guida però aiutano a chiarire i dubbi principali, nonostante rimangano aperte diverse interpretazioni. La nomina del DPO è obbligatoria per un’azienda o un ente nei casi in cui:
1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
3. le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.