Le FAQ del Garante Privacy sono utili a rispondere ad alcuni dubbi sulle caratteristiche e i requisiti del DPO alla luce del GDPR.

Con riferimento ai requisiti soggettivi e al profilo dello status, non sono richieste attestazioni formali o iscrizioni ad albi per adempiere ai compiti del DPO, che deve possedere un’approfondita conoscenza della normativa e della prassi in materia di protezione dei dati personali, oltre ad una conoscenza specifica delle procedure che caratterizzano il settore in cui dovrà operare.

Nella disciplina estremamente succinta prevista dal legislatore europeo, il DPO è un supervisore indipendente, che avrà funzioni di supporto, consultive, formative e informative, coopererà con il Garante e costituirà il punto di contatto anche rispetto agli interessati.

La cooperazione con l’Autorità di controllo trova il limite nella riservatezza e negli obblighi di segreto professionale cui è tenuto il DPO; a tal riguardo l’art. 38 co. 5 prescrive chiaramente che tali obblighi sussistono in conformità al diritto dell’Unione Europea e al diritto interno.

Le FAQ confermano che il DPO in ambito privato, è obbligatorio anche per tutte le organizzazioni che trattano come attività principale categorie particolari di dati personali (prima indicati come dati sensibili) oppure dati relativi a condanne penali e reati (prima indicati come dati giudiziari) su larga scala.

Il DPO potrà essere obbligatorio nei più disparati settori privati: gli istituti di credito, le assicurazioni, le società finanziarie, le società di informazione commerciale, le società di revisione contabile, le società di recupero crediti, i sindacati, i caf, i patronati e per quanto concerne il settore sanitario, vi rientrano gli ospedali privati, le terme, i laboratori di analisi cliniche e i centri di riabilitazione.

Da una parte si conferma che il titolare ed il responsabile devono fornire al DPO supporto adeguato in termini di risorse finanziarie, infrastrutture, personale, ecc., dall’altra, che sono solo il titolare ed il responsabile del trattamento a dover garantire e dimostrare la conformità al GDPR, rispondendo pertanto in via esclusiva anche ad eventuali sanzioni amministrative.

Il DPO potrà essere sia interno all’ organizzazione sia esterno, in forza di un contratto di servizi. In quest’ultimo caso l’indipendenza, intesa come non ingerenza nelle proprie attività, è un elemento più facile da soddisfare, rispetto al DPO interno.

Le Caratteristiche del DPO interno

Il DPO interno potrà svolgere altre funzioni, ma dovrà avere sufficiente tempo per svolgere i propri compiti; a tal riguardo, sotto un profilo organizzativo, si dovranno evitare situazioni di conflitto del DPO rispetto a chi gestisce processi decisionali che comportano la determinazione delle finalità e delle modalità del trattamento.

Più nello specifico, le FAQ chiariscono che mentre gli incarichi di alta direzione (amministratore delegato, membro del Consiglio di amministrazione, direttore generale, ecc.) e ruoli che determinano le finalità e le modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc..) possono presentare conflitti di interessi, l’assegnazione dell’incarico del DPO potrebbe anche riguardare le “funzioni di staff”, come per esempio i responsabili delle funzioni legali; infatti stando alla definizione mutuata da altri ambiti, il criterio delle “funzioni di staff” sarebbe da intendersi come funzione di supporto ai processi decisionali, che forniscono consigli e suggerimenti ad altre unità organizzative. Tale criterio indicato dal Garante, sembra essere molto interessante e sarà certamente impiegato da parte dei soggetti pubblici e privati che intendano designare internamente la figura del DPO, stante i numerosi dubbi emersi con riguardo al conflitto di interessi che caratterizza tale figura e che limita la designazione all’interno dell’organizzazione.

Infine, le FAQ chiariscono che il DPO potrà anche essere una persona giuridica e in tal caso, come già indicato nelle Linee guida del Gruppo Articolo 29 pubblicate ad aprile 2017, con riferimento al più generico criterio di organizzazione, occorre che sia specificata la persona incaricata che svolgerà tale funzione per conto del cliente.