Privacy, il DPO: chi è e come nominarlo

Il Data Protection Officer (DPO) è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi. Il suo compito principale è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy. Secondo l’articolo 39 del GDPR, il DPO deve informare e fornire consulenza al titolare del trattamento, sorvegliare l’osservanza del regolamento, fornire pareri sulla valutazione d’impatto sulla protezione dei dati, cooperare con l’autorità di controllo e fungere da punto di contatto per questioni relative al trattamento dei dati personali. Si tratta quindi di un professionista dotato anche di qualità manageriali e organizzative, in grado di suggerire al titolare o responsabile dei dati i più opportuni cambiamenti di carattere tecnico-organizzativo.

La nomina di un DPO è obbligatoria in tre casi specifici previsti dall’articolo 37 del GDPR: 1) quando il trattamento dei dati viene effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali nell’esercizio delle proprie funzioni); 2) quando le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; 3) quando le attività principali riguardano il trattamento, su larga scala, di categorie particolari di dati (dati sensibili) o di dati relativi a condanne penali e reati. Il Garante per la protezione dei dati personali raccomanda comunque la designazione di questa figura anche quando non sussistono i presupposti per la nomina obbligatoria, alla luce del principio di accountability che permea il GDPR. Nel 2024, l’EDPB ha rafforzato questa raccomandazione, sottolineando come la nomina di un DPO sia non solo un obbligo normativo per molte aziende, ma anche un valore aggiunto per garantire conformità e trasparenza nella gestione dei dati personali.

Il DPO deve possedere comprovata esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, sulle prassi oltre che una approfondita conoscenza del Regolamento. Nel novembre 2021, l’Autorità garante per la protezione dei dati personali del Lussemburgo ha stabilito che il DPO, per poter essere validamente nominato, debba avere almeno tre anni di esperienza in materia di protezione dei dati personali. Nel caso di un ente pubblico o di un organismo pubblico, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa. Per svolgere efficacemente il suo ruolo, il DPO deve essere esperto dei sistemi dell’informazione, avere competenze gestionali ed organizzative innestate ad una solida formazione giuridica. È prima di tutto un legale con competenze giuridiche specifiche del settore in cui opera l’azienda del titolare (ad esempio se il titolare è una PA il DPO deve avere competenza ed esperienza nell’ambito del diritto pubblico ed amministrativo) a cui dovrebbe aggiungersi una conoscenza informatica e una propensione alla gestione e all’organizzazione dei processi e delle risorse.

Il DPO può essere rivestito sia da un libero professionista esterno che da un dipendente del titolare del trattamento (o del responsabile del trattamento). Tuttavia, esiste una evidente discrasia tra la figura del dipendente, che si porta sulle spalle tutti gli oneri e gli obblighi di subordinazione previsti dalla legge, e l’articolo 38 del Regolamento che sancisce la posizione di assoluta indipendenza del DPO. Questa difficoltà è stata confermata recentemente dall’EDPB del 2024, che ha evidenziato numerosi casi di conflitti di interesse dovuti a DPO che ricoprono ruoli aggiuntivi all’interno delle organizzazioni. Dal punto di vista strettamente funzionale, le due alternative (DPO interno o esterno) potrebbero essere considerate equivalenti, ma ciò che fa la differenza è la realtà operativa del contesto. Un DPO interno potrebbe avere una conoscenza più approfondita dei processi aziendali, ma potrebbe soffrire di una mancanza di indipendenza. Un DPO esterno, invece, gode di un’ampia autonomia, non è soggetto alla pressione del business e dei vertici aziendali, ma potrebbe avere una visione meno privilegiata dei processi interni all’organizzazione.

L’articolo 38 del GDPR stabilisce che il DPO non deve trovarsi in alcuna situazione di conflitto di interessi. Il legislatore europeo cerca di evitare facili nomine effettuate per affinità o sovrapposizione di mansioni pratiche: non risulterà conforme alla legge l’eventuale nomina a DPO del responsabile che si occupa di ICT. Nell’ambito privato, stante un possibile conflitto di interessi, si ritiene che non possa essere nominato DPO l’amministratore delegato, il responsabile operativo, il responsabile finanziario o sanitario, il direttore marketing e quello delle risorse umane. Sono da considerarsi manifestamente incompatibili con il ruolo di DPO tutti quei soggetti che ricoprono “una posizione di vertice di una determinata funzione aziendale” quali a titolo esemplificativo, chief executive, chief operating, chief financial, chief medical officer, direzione marketing, direzione risorse umane e direzione IT. Un criterio generale è quello per cui la scelta del DPO non deve ricadere su quei soggetti che ricoprono ruoli che comportano la determinazione di finalità e modalità di trattamento di dati personali.

Il concetto di “larga scala” nel contesto dell’obbligo di nomina del DPO non è definito in modo preciso dal GDPR. Il Gruppo dei Garanti Ue (WP 29) ha fornito delle linee guida in merito, ma non ha stabilito un numero preciso di dati trattati o di persone interessate necessari a definire la categoria della grande scala, sebbene non possa escludersi la possibilità, con il tempo, di sviluppare pratiche standard che ne permettano la determinazione quantitativa. Per stabilire se si tratta di un trattamento su larga scala, le linee guida consigliano di prendere in considerazione i seguenti elementi: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento.

Secondo il rapporto EDPB del 2024, diversi DPO hanno segnalato una formazione insufficiente in ambito cybersecurity e data protection e una scarsa conoscenza delle normative sulla protezione dei dati, evidenziando la necessità di maggiori investimenti in percorsi formativi e aggiornamenti professionali. Un altro problema significativo è la presenza di numerosi casi di conflitti di interesse dovuti a DPO che ricoprono ruoli aggiuntivi all’interno delle organizzazioni, compromettendo la loro indipendenza. L’Authority europea ha ribadito la necessità di garantire che il DPO non sia subordinato a ruoli che possano influenzarne l’autonomia decisionale. Il rapporto ha inoltre evidenziato la carenza di risorse a disposizione dei DPO: molti professionisti hanno dichiarato di non avere un budget adeguato né un team di supporto sufficiente per svolgere efficacemente le loro funzioni. L’EDPB ha raccomandato che le organizzazioni assegnino risorse dedicate per garantire il corretto svolgimento delle attività di monitoraggio e consulenza. Infine, è emerso che alcune aziende che avrebbero dovuto nominare un DPO non lo hanno fatto, evidenziando una mancata comprensione dei criteri di obbligatorietà.

Nel contesto del controllo dei lavoratori, il DPO svolge un ruolo di presidio e salvaguardia del sistema di compliance e, come naturale ed immediata conseguenza, dei diritti e delle libertà fondamentali dei lavoratori. Il suo contributo si esprime principalmente nelle attività di informazione, consulenza e sorveglianza continua, comprendendo anche il ruolo della promozione e sorveglianza in relazione allo svolgimento di una valutazione di impatto privacy che, nella maggior parte dei casi di controlli o monitoraggi tecnologici, se non obbligatoria sarà quanto meno raccomandata. Una funzione cruciale sta anche nella capacità di rispondere a dubbi del management e del personale interno, provvedendo continuamente ad un’attività di advisoring e di chiarimento. Il corretto svolgimento dei compiti del DPO nell’ambito dei controlli dei lavoratori contribuisce indirettamente anche ad aumentare la tutela nei confronti degli interessati che sono generalmente coinvolti nelle attività di trattamento svolte dall’organizzazione. Per la tenuta degli equilibri fra i vari diritti coinvolti, il DPO deve agire ed essere coinvolto sin dalla fase di progettazione dei trattamenti e successivamente l’organizzazione deve garantirne una continuità d’azione.

Le conseguenze per un’organizzazione che non nomina un DPO quando è obbligatorio farlo possono essere significative. Con provvedimento del 16 gennaio 2025, il Garante Privacy ha sanzionato un Comune a seguito dell’accertata omessa comunicazione dei dati di contatto del DPO, nonché per l’omessa designazione dello stesso in violazione dell’art. 37, parr. 1 e 7 GDPR. L’Autorità ha ingiunto il Comune ad adottare le necessarie misure correttive: 1) designare il DPO; 2) pubblicare i dati di contatto del DPO; 3) comunicare i dati di contatto del DPO all’Autorità. Anche con Provvedimento del 14 novembre 2024, il Garante privacy aveva rilevato che non risultava che un Comune avesse effettuato la comunicazione dei dati di contatto del DPO all’Autorità utilizzando l’apposito canale dedicato, ravvisando una violazione dell’art. 37 par. 7 GDPR. Secondo l’EDPB, le autorità di controllo nazionali stanno rafforzando i controlli per verificare il rispetto dell’articolo 37 del GDPR, in particolare nei settori che trattano grandi quantità di dati sensibili o effettuano monitoraggio sistematico su larga scala.

Il ruolo del DPO ha subito un’evoluzione significativa negli ultimi anni. Dopo sette anni di GDPR, la figura del DPO ha visto cambiamenti importanti. La sua evoluzione è legata a nuove normative come l’AI Act, e a sfide legate alla formazione e alle risorse adeguate. Gli ultimi, drammatici mesi della pandemia sono stati certamente lo specchio della maturità del complesso framework in materia di protezione dei dati personali a livello europeo. Un ruolo di primo piano è spettato ai DPO che hanno dovuto diffondere il complesso reticolo di norme e linee guida europee e nazionali nelle organizzazioni in cui operano e supportare proattivamente i titolari nella loro implementazione. All’orizzonte una nuova, stimolante sfida attende i Data Protection Officer dell’intera Unione Europea, quella scaturita dall’abolizione del Privacy Shield da parte della Corte di Giustizia Europea a seguito dell’ormai noto caso Schrems II. Gli impatti sul business di migliaia di aziende, la scelta degli strumenti da adottare, la validazione delle strategie relative al trasferimento dei dati extra UE vedranno come protagonisti indiscussi i DPO.