Il Garante torna a fornire chiarimenti su DPO, Data Protection Officer o Responsabile della Protezione Dati (RPD), confermando “l’importanza della figura in questione nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati dal titolare” e con il dichiarato intento di “rendere più effettiva ed efficace l’attività del DPO e di mettere il titolare del trattamento nelle migliori condizioni per assicurare il corretto trattamento dei dati personali”. A tal fine ha recentemente pubblicato il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” e, altresì, ha provveduto ad integrare le FAQ relative all’ambito privato.
A distanza di tre anni dall’entrata in vigore del GDPR, riguardo al tema del DPO sono emerse problematiche, alcune delle quali comuni ad entrambi gli ambiti, sulle quali il Garante ha ritenuto “necessario” fornire chiarimenti.
L’Autorità di controllo innanzitutto si preoccupa di stigmatizzare che l’obbligo di designazione del DPO (o RPD) – generalizzato nel settore pubblico e al ricorrere di alcune specifiche condizioni nel settore privato, v. art 37 par. 1, let a) e, rispettivamente, lett b) e c) GDPR – sia stato percepito dagli enti come un mero adempimento formale (peraltro, spesso nemmeno eseguito correttamente, in quanto alla designazione non segue correttamente poi la “comunicazione” dei relativi dati di contatti al Garante, prevista all’art 37 par 7 GDPR) a tale riguardo sottolineando che l’eventuale violazione degli artt. 37, 38 e 39 GDPR può comportare la “possibile applicazione della sanzione amministrativa ai sensi dell’art. 83, par. 4, lett. a), del medesimo Regolamento”.
Non basta, quindi, che il DPO sia stato nominato, ma occorre che i relativi dati di contatto siano anche comunicati “tempestivamente” all’Autorità di controllo, “provvedendo al loro tempestivo aggiornamento, anche in caso di modifica dei dati o di sostituzione del soggetto designato”.
Quale “punto di contatto” per l’Autorità di controllo, il DPO (o RPD) svolge un ruolo di “facilitatore” che, precisa il documento in esame, risulta funzionale sia alle esigenze dello stesso Garante (in quanto in grado di agevolarne l’attività istruttoria e il tempestivo accertamento della conformità dei trattamenti indagati) sia alle esigenze dell’ente titolare/responsabile (in quanto agevola l’individuazione della documentazione e informazioni corrette e pertinenti da fornire all’Autorità).
Ma quali sono gli obblighi chiariti dal Garante? Quali i compiti e i vincoli del responsabile dei dati? Quali i conflitti di interesse? Quali le prassi e le consuetudini da stigmatizzare?