DPO — Data Protection Officer
Il Responsabile della Protezione dei Dati: figura professionale che supervisiona la conformità al GDPR all'interno di un'organizzazione.
Definizione
Il DPO (Data Protection Officer), in italiano Responsabile della Protezione dei Dati (RPD), è una figura professionale prevista dagli artt. 37-39 GDPR. Supervisiona il rispetto del Regolamento all'interno dell'organizzazione, funge da punto di contatto con il Garante e con gli interessati, e fornisce consulenza al titolare e al responsabile del trattamento in materia di protezione dei dati. Non è un organo di controllo esterno, ma una funzione interna all'organizzazione.
Riferimenti normativi
GDPR, art. 37
«Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, o quando le attività principali del titolare/responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o in trattamenti su larga scala di categorie particolari di dati.»
GDPR, art. 38
«Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.»
Implicazioni pratiche
Quando è obbligatorio
È obbligatorio per enti pubblici, organizzazioni che trattano su larga scala dati di categorie particolari (salute, dati giudiziari) e organizzazioni che monitorano sistematicamente gli interessati su larga scala (es. profilazione comportamentale).
DPO interno vs esterno
Il DPO può essere un dipendente o un professionista esterno. La scelta dipende dalla complessità dell'organizzazione, dal rischio di conflitti di interesse e dalle competenze disponibili internamente.
Garanzie di indipendenza
Il DPO non può ricevere istruzioni su come svolgere i propri compiti, non può essere rimosso o penalizzato per l'esercizio delle sue funzioni, e non può ricoprire ruoli che creino conflitti di interesse.
Domande frequenti
Una PMI è obbligata a nominare un DPO?
Non automaticamente. L'obbligo dipende dalla tipologia di dati trattati e dall'attività principale, non dalla dimensione dell'impresa. Molte PMI non sono obbligate, ma possono scegliere di nominare un DPO volontariamente.
Il DPO risponde delle violazioni del GDPR?
No. La responsabilità giuridica rimane in capo al titolare del trattamento. Il DPO ha un ruolo consultivo e di supervisione, non decisionale in merito alle finalità e ai mezzi del trattamento.