Il ruolo del Data Protection Officer (DPO): oltre il mero Consulente Privacy
Il Data Protection Officer (DPO) non è semplicemente un consulente privacy per il Titolare del trattamento di dati (Impresa/Imprenditore).
Le differenze tra DPO e Consulente Privacy
La distinzione tra DPO e consulente privacy è ben chiara per coloro che hanno ricoperto il ruolo di DPO negli ultimi anni. Un consulente si occupa di spiegare al cliente i rischi legati alla violazione delle normative sulla privacy durante la progettazione e/o l’esecuzione delle operazioni di trattamento dei dati personali. Tuttavia, una volta illustrati i rischi, può aiutare il cliente a creare soluzioni che possono discostarsi dal GDPR o dalle normative nazionali e dalle relative interpretazioni.
Al contrario, il DPO, in base all’articolo 38.3 del GDPR, deve svolgere il suo compito in modo autonomo, senza essere influenzato dal Titolare o dal Responsabile. Ciò significa che il DPO è vincolato dalla norma a proteggere i diritti e le libertà degli interessati, documentando qualsiasi disaccordo con il Titolare o il Responsabile. Inoltre, non può assistere il Titolare o il Responsabile nella creazione di soluzioni che violino il GDPR o le normative nazionali.
Norme che confermano la differenza
Molte norme confermano la netta differenza tra DPO e mero consulente privacy. Ad esempio, i dati di contatto del DPO devono essere pubblicati e comunicati all’Autorità di controllo secondo l’articolo 37.7 del GDPR. Inoltre, il DPO non può trovarsi in una situazione di conflitto d’interessi, come stabilito dall’articolo 38.6 del GDPR. Il DPO ha il compito di sorvegliare l’osservanza del GDPR e delle norme nazionali da parte dell’ente che lo ha designato, come indicato dall’articolo 39.1, lettera b) del GDPR. Deve anche cooperare con l’Autorità di controllo, fungere da punto di contatto per l’Autorità per questioni legate al trattamento e consultare l’Autorità su altre questioni, come specificato nell’articolo 39.1, lettere d) ed e) del GDPR.
Il rilievo pubblicistico del ruolo del DPO
Nel nostro ordinamento, non è una novità il rilievo pubblicistico delle funzioni svolte da professionisti o dipendenti di enti privati. È evidente il rilievo pubblicistico delle funzioni attribuite a professionisti come avvocati e revisori contabili. Anche le funzioni di dipendenti di società partecipate da amministrazioni pubbliche possono avere rilievo pubblicistico.
Per il DPO, è importante capire se il suo ruolo si limiti a quanto previsto dalle norme in materia di protezione dei dati personali o se possa avere una rilevanza aggiuntiva, derivante da un collegamento sistematico con altre figure professionali riconosciute nel nostro ordinamento.
Responsabilità penale del DPO
La responsabilità penale del DPO riguarda principalmente la falsa dichiarazione di informazioni o la produzione di documenti falsi al Garante. Tuttavia, occorre valutare se il DPO possa essere soggetto a responsabilità penale anche in altri casi, in base all’articolo 359 e all’articolo 481 del Codice penale.
In conclusione, il ruolo del DPO va oltre quello di un semplice consulente privacy, con responsabilità specifiche e un rilievo pubblicistico che ne caratterizza la funzione.