Il responsabile della protezione dati (Data Protection Officer, DPO) è la figura designata per osservare, valutare e organizzare la gestione di tutti i dati personali trattati all’interno dell’azienda (pubblica o privata), al fine di garantirne un trattamento e una protezione perfettamente conformi alle normative privacy europee e nazionali.
Il titolare del trattamento (ad es., il datore di lavoro o titolare dell’impresa) è tenuto a nominare un DPO ogni volta che:
Il Data Protection Officer è tenuto, nell’esercizio del suo incarico, a considerare debitamente i rischi del trattamento dati, tenendo conto delle specifiche caratteristiche del contesto in cui opera (natura dei dati trattati, finalità del trattamento, ambito di applicazione etc.).
È quindi incaricato di:
È importante sottolineare la necessità, nel processo di nomina del DPO, di scegliere una figura senza conflitti di interessi all’interno dell’azienda.
È utile a questo proposito citare il recente caso di un’azienda tedesca in cui il DPO ricopriva anche un ruolo dirigenziale. All’entrata in vigore del GDPR, nel 2018, il DPO è stato sollevato dal suo incarico a causa dei possibili conflitti di interessi tra le due nomine che ricopriva.
Positivo il parere della Corte di Giustizia Europea, che ha ribadito che ogni qualvolta il DPO non possa svolgere il suo incarico in totale indipendenza a causa di un conflitto di interessi (anche potenziale), la nomina va reindirizzata su un’altra persona.