Chi è il Responsabile della Protezione dei Dati Personali (DPO)? Quali sono i suoi compiti? Chi è obbligato, in ambito privato, alla sua designazione?
l responsabile della protezione dei dati personali (anche conosciuto come Data protection officer - DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (GDPR).
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR.
A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo; cfr. art. 38, par. 1 del GDPR).
Coopera, inoltre, con l'Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del GDPR).
Sono tenuti alla sua designazione il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del GDPR. Si tratta di soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. Gruppo ex art. 29, “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243 rev. 01 , paragrafi 2.1.3 e 2.1.4). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria (art. 37, par. 4 del gdpr; cfr., in tal senso, ad esempio, art. 2-sexiesdecies del D. lgs. 196/2003).