(Sintesi Contributo scientifico in occasione del Privacy Day)

Il Regolamento stabilisce, all'art. 37, l'obbligatorietà della nomina del DPO per gli organismi pubblici, ad eccezione delle autorità giurisdizionali quando esercitano la loro precipua funzione, e per le organizzazioni private a determinate condizioni.
Il Garante intervenuto sul tema ha rilasciato della FAQ che costituiscono delle Linee Guida sugli alcuni aspetti problematici della figura soggettiva nei due diversi ambiti.

SETTORE PUBBLICO

Per organismo pubblico, in assenza di una definizione da parte del Regolamento bisogna rimettersi alle legislazioni nazionali. Il Garante ha precisato che in Italia può farsi riferimento agli organismi di cui agli artt. 18-22 del vecchio codice della Privacy per cui tutti gli enti pubblici territoriali, gli enti pubblici non economici, sia a livello nazionale che locale, sono obbligati alla designazione del DPO.
In ordine alla scelta l’Ente è libero di attingere a risorse interne od esterne anche attraverso l'esternalizzazione del servizio a terzi. Sono preferibili soggetti accreditati presso il MEPA in caso di scelta di soggetto esterno all’Ente.

Nel caso di scelta di un dipendente interno all’Ente, il Garante ha suggerito la preferenza verso un Dirigente al quale deve essere garantita l’assoluta indipendenza, autonomia e non interferenza nello svolgimento dei suoi compiti alla stregua del whistleblower in materia di anticorruzione.
Sulla professionalità del DPO non è richiesta alcuna certificazione. Il Garante ha precisato che l’eventuale certificazione può essere un elemento per la valutazione da parte dell’Ente che, a pari condizioni, può dirigere la sua scelta verso qualcuno in possesso di certificazioni.
La designazione avviene attraverso un atto amministrativo che indica anche le ragioni della scelta. In genere l’Ente dovrebbe provvedere attraverso un atto di interpello per acquisire la disponibilità da parte delle risorse interne, all’esito del quale, effettua la scelta con l’atto di designazione. Nel caso di esito negativo dell’interpello, ed in assenza di professionalità disponibili all'accettazione dell’incarico, l’Ente provvede ad emanare un atto ad evidenza pubblica, un bando, concorso, pubblicato nell’Albo Pretorio on line dell’Eente e nel sito del MEPA, con il quale, individuando i compiti, anche aggiuntivi rispetto a quelli di cui all'art. 39 del Regolamento, invita alla presentazione delle candidature. All’esito dell’esame delle domande l’Ente designa il DPO con una ordinanza dell’Organo di rappresentanza dell’Ente o delibera dell’Organismo esecutivo dell’Ente o in via estremamente subordinata, non consigliata, con una determinazione dirigenziale; nel caso di soggetto esterno, l’atto di designazione va integrato con un contratto di servizi.
L’ente può scegliere tra la forma di DPO singolo o in team, anche attraverso la costituzione di un apposito Ufficio, come ha fatto il Comune di Roma.
Il Garante ha precisato che per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità è necessario che sia individuato il referente. Il Garante esclude per gli stessi motivi la possibilità di nomina di più DPO per lo stesso Ente.
Altresì il Garante chiarisce che al DPO possono essere assegnati ulteriori compiti purché non interferiscano con le attribuzioni di cui all'art. 39 del Regolamento, non creino situazioni di conflitto di interessi e non sottraggano tempo al DPO per l’espletamento del suo incarico.
L’ente avrà l’obbligo di indicare nella Sezione Trasparenza o Privacy del sito internet e nell'Albo Pretorio i dati di contatto del DPO.
Infine, il Garante non esclude la possibilità della nomina di un DPO per più Amministrazioni purché siano garantite le condizioni di imparzialità, autonomia non amovibilità ed evitate situazioni di conflitto.


SETTORE PRIVATO

Nel settore privato i compiti e le funzioni non mutano rispetto ai compiti affidati al DPO nel settore pubblico perché è sempre la Sezione 4 del capo IV che detta le sue qualità ed i compiti senza distinzioni nel settore privato rispetto a quello pubblico.
E’ prevista l’obbligatorietà della nomina per le ipotesi di trattamento previsti dall'art. 37 paragrafo 1 lett. b e c del Regolamento. Negli altri casi la designazione è facoltativa.
La designazione avviene senza necessità di atto ad evidenza pubblica ed è demandata alla dirigenza dell’Organizzazione, non soggetta ad alcuna motivazione.
Al DPO, interno od esterno all’Organizzazione deve essere assicurata imparzialità, autonomia ed assicurazione di non amovibilità per tutto il periodo di affidamento dell’incarico.
L’incarico verrà affidato attraverso un contratto di servizi professionali ovvero attraverso una precisa designazione nel caso di soggetto interno all’Organizzazione. L’atto di designazione o il contratto di servizi deve avere la forma scritta.
E’ possibile la nomina di un unico DPO nel caso di Organizzazione organizzata in più sedi ovvero nel caso di gruppi di imprese; il Gruppo di Lavoro art. 29 ha precisato che, in tal caso, deve essere garantita la facile raggiungibilità da ciascun stabilimento. Tale accessibilità deve essere garantita dalla comunicazione ed ostensione dei dati di contatto del DPO.
In genere le Organizzazioni sia private che pubbliche stanno preferendo la designazione di DPO individuale e, spesso, la figura è confusa con quella del manager o specialista privacy con la convinzione che l’adempimento agli obblighi si esaurisca solo con adempimenti formali-documentali, con ciò venendo meno al c.d. principio di accountability.
L’evoluzione deve dirigersi verso un mutamento della Weltanschauung in materia privacy e ciò potrà avvenire quando l’utenza ed il cittadino capiranno la ricchezza e l’enorme valore che hanno i loro dati personali, quale espressione dei diritti fondamentali dell’uomo.