Il Responsabile della Protezione Dati, o RPD (DPO in inglese) è una figura nata negli ultimi anni per svolgere diverse funzioni relative all’organizzazione del trattamento dati, e in alcuni casi è addirittura resa obbligatoria dallo stesso GDPR.

Ma di cosa di occupa nel concreto? Qual è il suo ruolo istituzionale e quali competenze deve avere? Cerchiamo di fare chiarezza.

Per prima cosa, il DPO si assicura che il GDPR venga rispettato e che tutto il personale coinvolto nel trattamento dati sia adeguatamente formato, e provvede quindi a informare e consigliare l’azienda in merito agli obblighi imposti dalle normative, ma non solo: svolge anche il ruolo di mediatore fra l’autorità di controllo e le aziende, e può fornire valutazioni come la DPIA (valutazione d’impatto sulla protezione dei dati), necessaria in tutti quei casi in cui la raccolta di dati può comportare un rischio per i diritti e le libertà dei diretti interessati.

In sostanza, quindi, un DPO è molto più che un semplice responsabile del trattamento dati; per questo motivo, le competenze richieste a questa figura sono abbastanza trasversali, e riguardano conoscenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.

Più nello specifico, il ruolo e le competenze sono trattati in maniera esaustiva nelle Linee Guida sul DPO pubblicate dal gruppo di lavoro appositamente istituito dal Parlamento Europeo, che ne definisce nomina, competenze e compiti.

Questo ruolo può essere affidato ad un dipendente dell’azienda, ma viste le competenze necessarie, il grado di responsabilità e il conflitto con i ruoli ai vertici è consigliabile affidarsi ad una figura esterna e indipendente, anche per garantire l’imparzialità ed evitare di incorrere in possibili conflitti di interessi. Per quanto riguarda l’obbligatorietà di questa figura, il DPO è sempre obbligatorio per le aziende nel settore pubblico, mentre nel privato è obbligatorio nel caso in cui i dati trattati dall’azienda riguardino:

  • Monitoraggio degli interessati su larga scala: ad esempio, i dati conservati dagli ospedali (ma non quelli di uno studio medico privato), oppure gli spostamenti effettuati dai possessori di titoli di viaggio sui mezzi pubblici;
  • Monitoraggio regolare e sistematico: riguarda la raccolta di dati costante o regolare secondo i criteri di un sistema o strategia, come ad esempio la profilazione a scopi pubblicitari, o anche l’utilizzo di telecamere a circuito chiuso o dati raccolti da un dispositivo per la domotica.
  • Dati particolari: tutto ciò che riguarda condanne penali o reati, ma anche altri dati sensibili come quelli sulle convinzioni politiche e religiose, etnia, orientamento sessuale o eventuali patologie.

Potrebbe interessarti: Contact center e registrazione delle chiamate: a quali leggi fare attenzione?

Per tutti gli altri, invece, la figura del DPO non è obbligatoria, ma a tal proposito può essere interessante sapere che nelle linee guida dell’art. 29 si parla anche della possibilità per i gruppi imprenditoriali di nominare un unico DPO, con l’unica condizione che questi sia sempre facilmente raggiungibile da ciascuno stabilimento.

Per saperne di più, sul sito del Garante della Privacy troverete tutte le informazioni relative a documenti, requisiti e nomina del Responsabile della Protezione dei Dati.