DPO: ruolo e funzioni alla luce dell’evoluzione tecnologica

Il Data Protection Officer (DPO), come delineato dal GDPR, è una figura centrale nel sistema della protezione dei dati personali. In alcuni ordinamenti nazionali, come quello tedesco e francese, figure assimilabili al DPO esistevano già prima dell'entrata in vigore del GDPR, con compiti simili di sorveglianza e consulenza in materia di trattamento dei dati. Il legislatore europeo ha quindi operato una sistematizzazione e un rafforzamento normativo di un ruolo già sperimentato in ambito settoriale e nazionale.

La nomina del Data Protection Officer costituisce un obbligo giuridico in presenza di determinati presupposti indicati all'art. 37 GDPR. In particolare, il legislatore europeo ha previsto tale obbligo per le autorità pubbliche, per i soggetti che effettuano trattamenti sistematici e regolari su larga scala, nonché per coloro che trattano dati sensibili o giudiziari in modo massivo. Si tratta di situazioni in cui il rischio per i diritti e le libertà fondamentali degli interessati risulta particolarmente elevato e rende necessario un presidio costante da parte di una figura autonoma e competente. Anche al di fuori di tali casi, il titolare o il responsabile del trattamento può procedere, su base volontaria, alla designazione di un DPO, qualora ritenga che la presenza di tale figura possa contribuire in modo significativo alla costruzione di un sistema di gestione e controllo dei trattamenti. La designazione volontaria produce comunque tutti gli effetti previsti dal Regolamento: una volta nominato, il DPO gode delle medesime prerogative e deve svolgere le medesime funzioni previste per i casi di obbligatorietà.

L'art. 38 definisce le garanzie che devono accompagnare l'esercizio delle funzioni del DPO. Egli deve poter operare in piena autonomia, senza ricevere istruzioni sulle modalità con cui svolgere i propri compiti e senza subire interferenze o pressioni indebite. Il titolare o il responsabile è tenuto a fornire al DPO tutte le risorse necessarie – in termini di tempo, accesso alle informazioni, supporto operativo e formazione – affinché possa adempiere correttamente al proprio incarico. Invero, l'organizzazione deve garantire che il DPO non venga rimosso o penalizzato per motivi connessi all'esercizio imparziale delle sue funzioni.

L'art. 39 elenca i compiti del DPO, tra cui rientrano l'attività di consulenza nei confronti del titolare e del personale coinvolto nei trattamenti, la sorveglianza sulla corretta applicazione del Regolamento e delle disposizioni interne, l'espressione di pareri sulle valutazioni di impatto relative alla protezione dei dati e la cooperazione con l'Autorità Garante. Il DPO, in quanto punto di contatto con l'Autorità, svolge altresì una funzione di raccordo tra l'organizzazione e il sistema istituzionale di vigilanza.

La disciplina europea consente che la funzione di DPO sia esercitata sia da un soggetto esterno, incaricato mediante contratto di servizi, sia da una risorsa interna all'organizzazione, mediante apposito incarico formale conferito dal titolare del trattamento.

Nel caso di DPO interno, la normativa pone particolare attenzione alla collocazione gerarchica e funzionale del soggetto designato. L'art. 38 par. 3 GDPR stabilisce che il DPO debba poter operare in piena autonomia, senza ricevere istruzioni in merito all'esecuzione delle proprie mansioni. Invero, l'organizzazione ha l'obbligo di garantire che egli non venga rimosso o penalizzato per l'adempimento delle sue funzioni, se non per giusta causa estranea al contenuto delle attività di controllo. Affinché tale indipendenza non sia solo formale, il DPO non deve trovarsi in una posizione che possa generare un conflitto di interessi, ossia non deve essere titolare di funzioni decisionali in merito alle finalità o ai mezzi del trattamento dei dati personali. In termini pratici, ciò implica che il DPO non possa cumulare il proprio incarico con ruoli apicali quali responsabile IT, direttore delle risorse umane, responsabile legale o dirigente di funzione che incida sui trattamenti. Il rischio di conflitto risulta particolarmente elevato nelle strutture di ridotte dimensioni, ove l'organico non consente una netta separazione di ruoli. In tali casi, l'ente ha l'onere di dimostrare che le funzioni svolte dal DPO non compromettano la sua imparzialità, eventualmente ricorrendo a forme di rotazione interna o a una doppia vigilanza che limiti l'incidenza del ruolo operativo sull'attività di controllo.

La Corte di Giustizia dell'Unione Europea con la sentenza C-453/21 del 9 febbraio 2023 ha confermato che, pur essendo ammissibile un cumulo di funzioni, questo è incompatibile con la funzione di DPO qualora generi un interesse concorrente o contrario a quello della tutela dei dati personali.

Nel contesto nazionale, l'Autorità Garante per la protezione dei dati personali è intervenuta con atti di indirizzo e documenti interpretativi, tra cui il provvedimento del 29 aprile 2021 con specifico riferimento ai soggetti pubblici. In tale pronuncia, l'Autorità ha evidenziato come la verifica della preparazione professionale del soggetto designato costituisca un elemento imprescindibile per assicurare l'effettiva idoneità all'incarico. In tale prospettiva, ha assunto progressiva centralità la certificazione UNI 11697:2017, conforme agli standard internazionali ISO/IEC 17024, la quale stabilisce i requisiti relativi alle conoscenze, abilità e responsabilità delle figure professionali operanti nel settore della protezione dei dati personali, tra cui il DPO.  L'affermazione di standard riconosciuti su base tecnica e professionale risponde all'esigenza di promuovere una cultura della qualificazione sostanziale delle competenze, nella prospettiva di rafforzare il presidio del diritto alla protezione dei dati attraverso l'affidamento dell'incarico a soggetti dotati di preparazione specialistica, continuità formativa e autonomia operativa. Tale orientamento risulta altresì coerente con il principio di accountability che permea l'impianto regolatorio europeo, e che impone al titolare e al responsabile del trattamento una responsabilità attiva e documentata nella selezione delle risorse impiegate nei ruoli di garanzia.

Nonostante la rilevanza strategica riconosciuta al DPO, ci sono significative disarmonie nell'applicazione concreta della normativa, soprattutto con riferimento alla remunerazione degli incarichi. In particolare, nella pubblica amministrazione e tra le piccole e medie imprese i compensi previsti risultano marcatamente inferiori rispetto alla complessità e alla responsabilità del ruolo e non tengono conto del carico documentale, delle attività di auditing interno, né del monitoraggio dei trattamenti in ambienti digitalizzati.

Nel quadro della transizione digitale, caratterizzata da un'evoluzione sistemica delle infrastrutture informative e da un utilizzo sempre più pervasivo delle tecnologie automatizzate, la figura del DPO assume un ruolo strutturale all'interno delle architetture organizzative pubbliche e private.

In tale prospettiva, l'introduzione di normative settoriali ad alta intensità tecnologica, quali il Digital Services Act, l'Artificial Intelligence Act, la direttiva NIS 2 e il Regolamento DORA, impone un elevato grado di integrazione regolatoria. Ciascuno dei provvedimenti citati incide sul trattamento di dati personali, rendendo necessaria una supervisione unitaria delle interazioni tra compliance normativa e protezione dei diritti fondamentali. Il DPO, in quanto soggetto istituzionalmente preposto alla sorveglianza dell'osservanza delle norme in materia di protezione dei dati, si colloca in posizione funzionale per presidiare l'intersezione tra innovazione tecnologica e legalità sostanziale.

Nel contesto descritto si inserisce la proposta di legge recentemente presentata da CIU-Unionquadri, che ha l'obiettivo di delineare con maggiore precisione i contorni giuridici e giuslavoristici della figura del DPO. Sebbene la figura sia già prevista dal GDPR, mancano, a livello interno, disposizioni che definiscano requisiti minimi di accesso, criteri retributivi congrui, nonché garanzie reali di indipendenza e neutralità. Le proposte attualmente in discussione sembrano orientarsi verso la previsione di requisiti oggettivi e verificabili di competenza, eventualmente connessi a percorsi di certificazione riconosciuti, e alla definizione di parametri che consentano di evitare forme di sfruttamento economico o di affidamento meramente simbolico dell'incarico.