La nomina del DPO e le responsabilità del titolare del trattamento

09 dicembre 2020Ultimo aggiornamento 21 aprile 2021
Tempo di lettura stimato: 7'
C’è chi lo chiama cane da guardia e chi usa altre espressioni più colorite – a partire da quella di un consulente inglese, che ha definito il DPO che fa bene il suo lavoro “fastidioso come una cacca in un sandalo” – ma la definizione che riassume meglio la figura del DPO è quella di sentinella
Il DPO è come una sentinella, una guardia a servizio del dato che ha il compito di verificare che venga trattato bene. 

DPO: una sentinella a protezione dei dati

Il DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) è il soggetto che viene nominato o dal titolare o dal responsabile del trattamento per una funzione di supporto e controllo sul trattamento dei dati all’interno dell’ente. Parliamo di ente e non di azienda, perché non sono solo le aziende a dover nominare i DPO, ma anche le associazioni e gli enti pubblici.
È una sorta di consulente tecnico che ha poteri esecutivi, perché è quello che tecnicamente viene chiamato dal titolare o dal responsabile quando si trattano dati personali. È un po’ come quando viene interpellato il commercialista per le questioni fiscali, il consulente del lavoro per le buste paga o l’avvocato per le cause legali.


Sono 5 le sue aree di intervento 

I suoi compiti rientrano in 5 grandi macroaree:
1) Supporta l’ente 
2) Controlla - ma con l’atteggiamento del revisore, non del carabiniere! – che i dati personali siano protetti; il suo è un atteggiamento proattivo: aiuta il titolare o il responsabile a risolvere un problema o a trovare la maniera corretta di fare un trattamento.
3) Ha una funzione di consultazione, perché il titolare - o il responsabile - quando deve iniziare un nuovo trattamento, deve sapere che può avvalersi della consulenza del DPO per scegliere la modalità con cui effettuare un trattamento nel rispetto del GDPR.
4) Forma il titolare, il responsabile e gli addetti. Anche se non è tra i compiti obbligatori per legge, il DPO può mettersi a disposizione del titolare o del responsabile per fare formazione. 
5) Informa, cioè mette a disposizione del titolare e del responsabile le proprie conoscenze nell’ambito del GPDR per accompagnarlo ad una corretta interpretazione della norma.

E sono i 5 soggetti con cui si interfaccia

Il DPO si interfaccia con:
1) le imprese
2) la PA
3) l’utente privato
4) i clienti
5) le Autorità Garanti

Il DPO quando va nominato? 

L’articolo 37 del GDPR ci dice che è obbligatorio nominare il DPO all’interno delle autorità e degli organismi pubblici
E qui c’è il primo problema, perché il Regolamento non dà una definizione di autorità o di organismo pubblico. Salvo Stato, Regioni, Province, per il resto è difficile capire se un ente è un organismo pubblico o privato. Quindi bisogna guardare 2 cose:
1) la natura giuridica dell’ente
2) la tipologia di attività che svolge

La Direttiva 98 del 2003 ci aiuta perché ci permette di capire se un ente è un organismo pubblico oppure no. Secondo la Direttiva l’ente pubblico, per l’Unione Europea, è: lo Stato, la Regione e anche un’associazione composta da più enti pubblici. Quindi, per esempio, le associazioni di Comuni sono organismi pubblici.

Poi ci dice che l’ente è un organismo pubblico se:
1) la sua finalità è l’interesse generale, quindi non ha scopro di lucro o uno scopo di carattere industriale o commerciale;
2) è finanziato dallo Stato, da enti pubblici, se c’è un controllo statale importante o se nel CDA ci sono soggetti nominati dallo Stato. È sufficiente che almeno uno di questi punti sia presente, perché l’ente sia definito organismo pubblico. 

Bene. Ma non è finita qui. 

Stiamo parlando di una direttiva comunitaria, quindi a carattere generale, che non dà una definizione rigida, per cui non è detto che quello che è considerato organismo pubblico in Italia lo sia anche in Olanda. Quindi per capire se l’ente è pubblico o meno, per prima cosa bisogna fare riferimento alla norma nazionale del Paese e se non troviamo nulla che ci aiuti, bisogna capire cosa fa l’autorità in questione. Perché, se l’ente – anche privato – offre servizi di interesse pubblico – come Poste Italiane e SOGEI per intendersi – allora deve nominare un DPO. 

È tutto? No!

L’art. 37 del GDPR ci dice che il DPO va nominato anche quando vengono fatti certi tipi di trattamenti
Quindi, occhio, perché un’organizzazione che fa un certo tipo di trattamento (per esempio usa l’Intelligenza Artificiale), fa trattamenti dal rischio alto o tratta dati delicati (per esempio i dati sanitari) – quindi se c’è una criticità - scatta automaticamente l’obbligo del DPO


Quando non si deve nominare il DPO? 

Ad oggi, indipendente dall’attività svolta, non devono nominare il DPO: 
- i liberi professionisti che operano in forma individuale, quindi, per esempio se sono un avvocato che lavora in forma individuale non ho l’obbligo, se invece lavoro in forma associata devo mettermi il problema;
- gli agenti, i rappresentanti e i mediatori che non operano su larga scala;
- le imprese individuali o familiari;
- le PMI quando svolgono trattamenti legati alla gestione corrente, che hanno rapporti con fornitori e dipendenti, ma attenzione, perché ormai quasi tutte le imprese, oltre alla gestione corrente, hanno delle peculiarità che non devono essere sottovalutate, quindi il dubbio di dover nominare il DPO in questi casi resta. 
Bene. E se il DPO va nominato?
Occhio che, se nomini tardi o scegli male, rischi. Perché c’è la culpa in eligendo (colpa nella scelta).

Culpa in eligendo: occhio a chi nomini e a quando nomini! 

Occhio alla Nomina DPO - PrivacyLab

La tardiva nomina o l’assenza di nomina del DPO può avere effetti sia dal punto di vista civile che penale: effetti che possono colpire in modo irrimediabile la reputazione dell’ente e la prosecuzione della sua attività. 
Perché non basta la nomina per essere a posto!
Il titolare del trattamento può essere considerato colpevole sia perché non ha nominato il DPO, sia perché lo ha nominato, sbagliando. Si chiama culpa in eligendo.
È anche vero che scegliere un DPO è molto complicato
Intanto non c’è un albo di appartenenza. Esiste la certificazione, ma è su base volontaria e ad oggi non c’è un riconoscimento universale. Poi il rapporto fra titolare e DPO deve essere fiduciario – un po’ come il prete quando ti vai a confessare – perché è una nomina inamovibile. 
Quindi, se il titolare decide di dare l’incarico ad un DPO, a meno che non ci siano fatti che ne impediscono la prosecuzione, quest’ultimo resta fino a fine incarico.
Vale in assoluto? No, in alcuni casi il DPO può essere rimosso. 


IL DPO quando può essere rimosso dal suo ruolo? 

Di sicuro può essere rimosso se è infedele, per esempio, quando cura l’interesse dell’ente ma poi vìola la segretezza e diffonde informazioni. Oppure può essere rimosso quando c’è incompatibilità: Peppino viene nominato DPO e il giorno dopo suo fratello entra nel CDA dell’azienda che lo ha nominato Responsabile per la Protezione Dati. O ancora viene rimosso se viola delle norme deontologiche che il titolare ha imposto al DPO, prima della nomina. 
Perché, ok, è vero che il titolare ha degli obblighi, ma anche il DPO ha delle regole rigide da rispettare!


DPO interno o esterno: quali caratteristiche deve avere? 

Il GDPR, secondo il principio di accountability, non vieta il DPO interno. Il titolare – o il responsabile – decide quindi se avvalersi di un soggetto esterno o interno alla sua organizzazione. Ma nella scelta, a cosa deve fare attenzione? 
Riassumiamo i principali punti da considerare:
1 – Designazione
Se è interno, chi lo nomina deve dare al DPO un atto di designazione molto dettagliato, in cui vengono indicati chiaramente quali sono i compiti del DPO interno e del titolare. 
Se il DPO è esterno, chi lo nomina deve redigere un contratto di servizi che rispetti quanto scritto nell’art. 37 del GDPR. Poi il nominativo - sia del DPO interno che del DPO esterno - dovrà essere comunicato all’Autorità Garante. 
2 – Le caratteristiche del DPO interno
Il DPO interno deve essere un dirigente o un funzionario con un alto livello professionale, perché, da un lato, il dirigente è l’unico che ha sufficiente autonomia all’interno dell’organigramma aziendale e dall’altro il mestiere del DPO pretende grande attenzione tecnica, sia dal punto di vista giuridico che informatico. Posto che è già difficile che in un unico soggetto si possano trovare entrambe le competenze, quanto meno, se il DPO ha un’altra professionalità, potrà farsi affiancare da un collaboratore con competenze legali – se è un DPO di derivazione informatica – o da un gruppo di lavoro, che lo assista dal punto di vista tecnico, se è di derivazione legale.
Se viene nominato all’interno di un ente privato, il Garante ha già precisato che il DPO interno non deve avere anche ruoli di particolare rilevanza. Quindi non può lavorare nel marketing, nelle risorse umane, nella direzione finanziaria e non può essere neanche il responsabile IT. Perché, in caso di verifica, diventerebbe complicato dimostrare l’interdipendenza di questo soggetto rispetto all’attività che poi di fatto svolge. Immaginiamo di nominare DPO il Responsabile Marketing – la bestia nera del DPO nelle aziende private - sarebbe come avere il dottor Jekyll e Mr. Hyde! 
E il DPO esterno? Di certo deve essere indipendente, competente e possibilmente certificato. Ne parliamo in modo approfondito nell’articolo su DPO esterno: come si sceglie e come si fa (bene)  


Articolo tratto dall’intervento dell’Avvocato Barbara Sabellico su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy