Art. 37 GDPR — Designazione del responsabile della protezione dei dati

Commento

La figura del Data Protection Officer

L'art. 37 GDPR introduce il Data Protection Officer (DPO o RPD, Responsabile della Protezione dei Dati). È figura centrale della governance privacy: indipendente, esperta, integrata nei processi decisionali. La designazione del DPO è obbligatoria in tre ipotesi (par. 1) e fortemente raccomandata in molte altre. Le funzioni del DPO sono dettagliate negli artt. 38-39: informazione, consulenza, sorveglianza della conformità, cooperazione con l'Autorità. Le linee guida EDPB hanno consolidato un quadro applicativo dettagliato.

Quando è obbligatorio (par. 1)

Il par. 1 elenca le tre ipotesi obbligatorie: (a) il trattamento è effettuato da un'autorità pubblica o organismo pubblico, eccettuate le autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali; (b) le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; (c) le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (art. 9) o di dati relativi a condanne penali e reati (art. 10).

Requisiti del DPO (par. 5)

Il par. 5 stabilisce i requisiti: il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di adempiere i compiti di cui all'art. 39. Le competenze richieste sono giuridiche, tecniche, organizzative. Le certificazioni professionali (CIPP/E, IAPP, UNI 11697) sono diffuse. L'esperienza pratica è valutata caso per caso in funzione della complessità del titolare. Il DPO può essere interno o esterno.

Designazione e pubblicazione (par. 7)

Il par. 7 prevede che il titolare o il responsabile pubblichi i dati di contatto del DPO e li comunichi all'Autorità di controllo. La pubblicazione facilita gli interessati nell'esercizio dei diritti e l'Autorità nei controlli. Il contatto è generalmente email dedicata (dpo@) e/o indirizzo postale. La comunicazione al Garante è procedurale: in Italia, attraverso il servizio online del Garante (designazione, sostituzione, dimissioni). Il DPO è registrato e il suo cambio comunicato.

Gruppi e DPO condiviso (par. 2-3)

Il par. 2 prevede che un gruppo imprenditoriale possa nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento. Il par. 3 estende a gruppi di autorità o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Il DPO condiviso è scelta comune nei gruppi: riduce i costi e garantisce coerenza, ma richiede risorse adeguate per coprire tutte le entità. Le linee guida EDPB hanno raccomandato proporzionalità.

Il DPO in Italia: prassi del Garante

In Italia, il Garante ha pubblicato FAQ e provvedimenti sul DPO: chiarimenti su obbligatorietà per pubbliche amministrazioni (sempre per autorità pubbliche), per professionisti (di norma no a livello individuale), per società di servizi sanitari, finanziari, telco (frequente). La giurisprudenza del Garante ha sanzionato titolari obbligati che non hanno designato il DPO. La figura del DPO è oggi consolidata: associazioni professionali (AssoDPO, Federprivacy) e standard di formazione (UNI 11697) supportano il mercato.

Regola pratica e checklist operativa

Compliance art. 37: (i) valutare obbligatorietà; (ii) definire profilo professionale; (iii) interno vs esterno; (iv) designazione formale; (v) comunicazione al Garante; (vi) pubblicazione contatti nell'informativa e sul sito; (vii) risorse adeguate; (viii) review periodica della performance. Il DPO è investimento di governance.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.