Il Data Protect Officer (DPO) o nella sua italica accezione Responsabile Protezione Dati (RPD) ha per lo più il compito di vigilare l’osservanza della normativa GDPR così come si evince dalla lettura dell’ 39, comma 1, lettera b): “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.
Il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati personali. L’art. 24, comma 1 del GDPR chiarisce che è compito del titolare (e non del DPO) mettere in atto le misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.
Per cui La responsabilità di garantire il rispetto della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento.
Importante attività a carico del DPO è quella di fungere da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei suoi compiti, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.
Questa attività viene descritta dall’art. 39, comma 1, lettere d) ed e), secondo i quali il DPO deve “cooperare con l’autorità di controllo” e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione”.
Altro ruolo di grande importanza attribuito al DPO è poi quello di assistere il titolare del trattamento dei dati nello svolgimento della “valutazione d’impatto sulla protezione dei dati” che, come previsto dall’art. 35, comma 1 del GDPR, è un onere posto direttamente in capo al titolare del trattamento. L’art. 35, comma 2, prevede infatti in modo specifico che il titolare “si consulti” con il DPO quando svolge una valutazione d’impatto sulla protezione dei dati, e allo stesso tempo, l’art. 39, comma 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Nelle “Linee Guida sui responsabili della protezione dei dati” indicate dal Gruppo di lavoro ex art. 29 viene precisato che il titolare del trattamento si consulti con il DPO sulle operazioni e provvedimenti da prendere in merito all’adeguamento normativo. Nel caso in cui il titolare del trattamento non concordi con le indicazioni fornite dal DPO, il suo dissenso dovrà essere appositamente motivato e documentato.
Nello svolgimento di queste funzioni il DPO ha l’obbligo di rispettare le norme in materia di segreto o riservatezza, in base a quanto stabilito dal diritto dell’Unione Europea o degli stati membri.
Così come nello svolgimento della sua attività deve considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. (all’art. 39, comma 2)
L’elenco di compiti affidati al DPO previsto dall’art. 39, comma 1 del GDPR viene indicato come meramente esemplificativo per cui il titolare del trattamento ha la possibilità di affidargli anche altre funzioni, benché si tratti sempre di attività svolte sotto la responsabilità del titolare stesso o del responsabile.
Il DPO risponde di eventuali responsabilità correlate allo svolgimento dei suoi obblighi di consulenza e assistenza nei confronti del titolare del trattamento, che rimane comunque l’unico soggetto responsabile del rispetto della normativa vigente.