Si tratta di due delle domande più frequenti da quando, lo scorso 25 Maggio 2018, è entrato definitivamente in vigore il GDPR.

• Quali imprese o enti devono nominare il Responsabile Protezione Dati (DPR) o DPO come ormai entrato nel linguaggio comune? 

La norma è chiara quando, senza dubbio, questa nomina è indicata come obbligatoria dall’art. 37 nei confronti della Pubblica Amministrazione senza eccezioni; nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala nonché quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.

La norma relativa all’obbligatorietà della nomina del DPO non è peraltro esaustiva. Premesso che il titolare deve adottare tutte le misure organizzative e tecniche adeguate “a garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento” (art. 24. primo paragrafo), la eventuale nomina di altre figure che affianchino il Titolare e garantiscano standard adeguati di protezione dei dati può diventare un obbligo di fatto. La designazione di un DPO, tenuto conto dei compiti che questo deve svolgere e a condizione che gli siano garantiti indipendenza e mezzi organizzativi e strumentali necessari, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR, anche laddove non obbligatorio. 

È ovvio, però che, in tale ipotesi, se il titolare ritiene opportuno procedere alla nomina del RDP come ulteriore e opportuna misura idonea a dimostrare la conformità dei trattamenti al Regolamento, questa debba avvenire nel pieno rispetto della normativa relativa a questa figura. Non è possibile, insomma, che nei casi in cui la designazione del RDP non sia obbligatoria il titolare possa costruirsi una sorta di RDP “fai da te”, attribuendo tale funzione a figure professionali inadeguate o senza garantire ad esse i poteri, la posizione di indipendenza e le risorse necessarie previste dalle norme ovvero, peggio ancora, a segretari o stagisti.

In tal senso, l’ormai disciolto Gruppo art. 29 non si è limitato a precisare che i titolari devono essere in grado di dimostrare di aver compiuto all’interno dell’azienda le valutazioni necessarie per stabilire se nel caso specifico sussista o meno l’obbligo di nomina. Ha anche chiarito che, ove si decida di procedere alla nomina di un DPO, debbano essere integralmente applicate le norme di cui agli art. 37-39 del GDRP. Dobbiamo infatti ricordare che il DPO svolge, oltre a quelle di effettivo controllo sulla protezione dei dati e adeguamento al regolamento, anche una funzione di interfaccia tra Titolare e Interessati da un lato e tra Titolare e Autorità garanti dall’altro. Per tali motivi deve essere garantita al DPO una posizione di fatto al vertice dell’organizzazione che dovrà oltretutto esercitare in piena indipendenza, anche economica, andando i suoi compiti oltre la mera consulenza e vigilanza.

Ancora il Gruppo Art. 29 in un suo parere (n. 243 punto 4.2) affermava che “qualora il titolare non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione relativa alla DPIA (Valutazione di impatto) riporti specificamente e per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni”. Ancora significativo sul punto la considerazione che l’art. 38 GDPR al paragrafo 6, concede al DPO la possibilità di svolgere anche altre funzioni e compiti diversi da quelli propri del suo ruolo, ma spetta al titolare accertarsi “che tali compiti e funzioni non diano adito a conflitto di interessi”.

Il GDPR assegna dunque al DPO un ruolo che assume anche un rilievo di tipo pubblicistico: egli opera non solo nell’interesse del titolare ma anche degli interessati e del sistema di protezione dati. Si ricordi, infatti, che è suo compito entro 72 ore da un Data Breech darne informazione al Garante. Spetta sempre al titolare, il solo a rispondere delle eventuali violazioni al GDPR, accertare che il DPO designato possieda competenze specialistiche da unire a quelle specifiche necessarie alla svolgimento della funzione, tenendo conto dei trattamenti posti in essere e delle modalità organizzative e tecniche adottate. Ed è poi compito del Titolare permettere al DPO di svolger le proprie funzioni anche aderendo alle sue richieste che dovranno essere accuratamente, per risorse, strutture, adeguamenti.

Inutili e fuorvianti, oltre che ai limiti della legalità, sono invece le richieste di autocertificazione che alcune aziende vanno richiedendo ai potenziali DPO di essere in grado di svolgere le specifiche funzioni.