Il Regolamento Europeo per la protezione dei dati personali che, ricordiamo, è già in vigore dalla sua pubblicazione nel 2016, avrà piena applicazione dal 25 Maggio 2018, prevede all’articolo 28 la figura, non presente nelle precedenti normative, del DPO – Data Protection Officer, o Responsabile per la protezione dei dati, che non coincide con la figura del Titolare del Trattamento.

Si tratta di una figura che deve agire in maniera indipendente, senza vincoli di subordinazione, ed essere nominata con un atto scritto dal Titolare del Trattamento Dati che si consiglia sia estremamente dettagliato. Deve inoltre avere una conoscenza specialistica non solo della normativa, ma anche tecnica per assolvere i compiti di cui è investito. La nomina del DPO deve essere inoltre comunicata in via telematica al Garante.

La differenza tra Titolare del Trattamento e DPO
A fini non solo terminologici bensì sostanziali, è indispensabile chiarire che per Titolare del Trattamento si intende la persona fisica o giuridica, o la pubblica amministrazione, cui competono le scelte di fondo sulle finalità e modalità del trattamento dati, anche per quanto riguarda la sicurezza. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali (compreso l'obbligo di notifica al Garante nei casi previsti). Tra questi obblighi è importante ricordare che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato. Come del resto è intuitivo, è proprio il Titolare ad essere vincolato ai doveri di riservatezza inteso non solo come divieto di divulgazione, ma anche garanzia

Il DPO invece è colui che materialmente si occupa della gestione dei dati e la sua nomina diviene obbligatoria con la nuova normativa. Insieme al Titolare del Trattamento deve porre in atto le misure (tecniche e legali) per garantire un corretto trattamento dei dati personali di cui ogni azienda o privato venga in possesso per lo svolgimento della propria attività. In sintesi possiamo dire che il DPO è non solo il front office della privacy, ma anche il responsabile materiale del trattamento, con precise responsabilità nei confronti del Titolare.

DPO: alcune specifiche
Il Regolamento, teoricamente, non prevede che il DPO sia soggetto esterno all’azienda o all’organizzazione del Titolare, ma l’esplicita previsione di un contratto che lega i due soggetti, nonché la prassi europea ormai applicata impongono di fatto una figura esterna che in Italia, al momento, non ha una sua disciplina organica. Inoltre, sempre sul punto, è indispensabile porre in evidenza che il GDPR espressamente richiede che il DPO non debba avere conflittualità in azienda. Ergo solo una figura indipendente offre una simile garanzia.

In ogni caso il Responsabile ha precisi obblighi e doveri di trasparenza e il rapporto con il Titolare deve specificare obblighi e limiti del trattamento dati, nonché tutte le istruzioni alle quali dovrà attenersi. Inoltre dovrà mettere a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi imposti dal Regolamento e previsti, in particolare, all’articolo 28, oltre ad essere responsabile del registro dei trattamenti svolti, garantire la sicurezza dei dati e adottare le misure di sicurezza adeguate al rischio (laddove per rischio si intende non un dato generico, bensì un elemento concreto che ogni Titolare dovrà valutare sulla base dei parametri della normativa e dell’attività svolta). Sempre a carico del DPO sono gli obblighi nei confronti dei propri dipendenti e collaboratori nonché, operando in stretta coordinazione con il Titolare, l'informare il Titolare nel caso in cui alcune istruzioni o direttive ricevute mettano a repentaglio la protezione dati o si pongano in contrasto con la normativa.

Ciò non vuol assolutamente dire che sul DPO ricadano direttamente le responsabilità in caso di violazione del Regolamento nei confronti dell’Interessato, anche in caso di non corretto adempimento degli obblighi assunti. Al contrario responsabile nei confronti degli utenti interessati e nei confronti della PA, è e rimane il Titolare del trattamento (nei cui confronti, ribadiamo, il DPO è contrattualmente vincolato), fatte salve ovviamente le azioni di rivalsa e responsabilità nei confronti del DPO (e le sanzioni possono giungere a dieci milioni di euro, o al due percento del fatturato mondiale dell’azienda), con le immaginabili richieste di risarcimenti danni.