Guida al GDPR

Il DPO ha, innanzitutto, il compito di vigilare sull’osservanza del GDPR da parte dei titolari che gli affidano tale incarico. Come emerge dall’art. 39, comma 1, lettera b), infatti, il DPO viene incaricato, tra gli altri compiti, anche di: “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Il responsabile della protezione dei dati (altrimenti detto Data Protection Officer, o DPO) è un consulente, esperto e qualificato, che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Il DPO viene introdotto per la prima volta nel nostro ordinamento dal GDPR, ma già diffuso in altri Stati membri, il cui ruolo è da tenere ben distinto da quello del responsabile del trattamento, che, come approfondito nell’apposito articolo già pubblicato, è il soggetto che affianca per compiti e responsabilità il titolare stesso (e proprio per facilitare questa distinzione ed evitare confusione si preferisce, e si è maggiormente diffuso, l’utilizzo del termine inglese Data Protection Officer e del relativo acronimo DPO).

Come stabilito dall’art. 82, comma 1 del GDPR: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Come stabilito dall’art. 37 del GDPR, il DPO deve essere nominato obbligatoriamente dal titolare del trattamento o dal responsabile del trattamento in una serie definita di ipotesi.

In primo luogo, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni. Poiché nel Regolamento non viene data alcuna definizione specifica di “autorità pubblica” o di “organismo pubblico”, il Gruppo di lavoro ex art. 29 ha ritenuto che questa definizione dovrà essere interpretata in conformità al diritto di ciascuno Stato membro.

L’interessato al trattamento dei dati è, in poche parole, la persona fisica cui si riferiscono i dati personali oggetto di trattamento.

Più precisamente, l’interessato è una persona fisica identificata o identificabile, che può cioè essere identificata in modo diretto o indiretto facendo riferimento, ad esempio, ad informazioni come: il nome, un numero di identificazione, dati riguardanti l’ubicazione, un identificativo on-line oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Il Responsabile del trattamento è nominato, come previsto dall’art. 28, comma 3 del GDPR, dal Titolare del trattamento attraverso un contratto di nomina (o altro atto giuridico idoneo a norma del diritto dell’Unione Europea o degli Stati membri) che dovrà essere redatto in forma scritta, anche in formato elettronico, e dovrà disciplinare i seguenti elementi: