DPO – Data Protection Officer

Il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché della libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)” (di seguito GDPR), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Data Protection Officer (DPO) (artt. 37-39).

Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il DPOquando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure, quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.” (art. 37, paragrafo 1, lett. a), b) e c);

Le predette disposizioni prevedono che il DPOpuò essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi” (art. 37, paragrafo 6) e deve essere individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e delle capacità di assolvere i compiti di cui all’articolo 39” (art. 37, paragrafo 5) e “il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento” (considerando n. 97 del GDPR);

Nel rispetto di quanto previsto dall’art. 39, par. 1, del GDPR, il DPO è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:


  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni nazionali o dell’Unione Europea, relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni nazionali o dell’Unione Europea, relative alla protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del GDPR;
  4. cooperare con il Garante per la protezione dei dati personali;
  5. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
  6. tenere il registro delle attività di trattamento sotto responsabilità del titolare o del responsabile, attenendosi alle istruzioni impartite;
  7. svolgere tutte le attività richieste dal titolare o dal responsabile al fine di garantire il rispetto della normativa nazionale e sovranazionale sul trattamento dei dati personali.

Il DPO deve pertanto essere una figura qualificata, con competenze sia legali che informatiche, può individuarsi in una persona fisica o giuridica e può essere composto internamente da un team di professionisti.