In sintesi
- L'art. 39 GDPR elenca i compiti del DPO: informare, sorvegliare, DPIA, cooperare.
- Lett. a): informa e consiglia titolare, responsabile, personale.
- Lett. b): sorveglia osservanza del GDPR e delle policy interne.
- Lett. c): fornisce parere su DPIA e ne sorveglia lo svolgimento.
- Lett. d-e): coopera con il Garante e funge da contatto per l'Autorità.
- Par. 2: approccio risk-based, priorità ai trattamenti più rischiosi.
Testo dell'articoloVigente
Articolo 39 del Regolamento (UE) 2016/679 (GDPR) — Compiti del responsabile della protezione dei dati.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Le funzioni del DPO
L'art. 39 GDPR elenca i compiti del DPO: informazione, consulenza, sorveglianza, formazione, DPIA, cooperazione, contatto con il Garante. È checklist operativa che traduce la posizione di garanzia (art. 38) in attività concrete. Le linee guida EDPB 5/2017 (rev) hanno consolidato il quadro applicativo. Il DPO è figura multidisciplinare: combina competenze giuridiche, tecniche, organizzative, comunicative.
Informare e consigliare (lett. a)
La lett. a) prevede che il DPO informi e consigli il titolare o il responsabile, nonché i dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati. È funzione di guida: il DPO è punto di riferimento per chiunque, all'interno dell'organizzazione, abbia dubbi su quale soluzione adottare. Il consiglio del DPO è scritto quando rilevante (pareri formali) e tracciato.
Sorvegliare la conformità (lett. b)
La lett. b) impone al DPO di sorvegliare l'osservanza del GDPR, di altre disposizioni dell'UE o dello SM in materia di protezione dei dati, e delle politiche del titolare o del responsabile in materia di protezione dei dati, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti, e i relativi audit. È funzione di controllo continuo. Strumenti operativi: audit interni, KPI privacy, dashboard di conformità, segnalazioni.
Fornire pareri su DPIA (lett. c)
La lett. c) prevede che il DPO fornisca, se richiesto, un parere in merito alla DPIA (art. 35) e ne sorvegli lo svolgimento. La consultazione del DPO sulla DPIA è obbligo del titolare (art. 35, par. 2). Il DPO valuta metodologia, partecipa all'analisi del rischio, indica misure di mitigazione, supervisiona l'attuazione. Il parere del DPO è documento integrante della DPIA.
Cooperare con il Garante (lett. d-e)
Le lett. d) ed e) impongono al DPO di cooperare con l'Autorità di controllo e fungere da punto di contatto per l'Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'art. 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. È funzione di liaison: il DPO è il canale tra il titolare e il Garante, coordina le risposte alle ispezioni, gestisce le segnalazioni.
Approccio basato sul rischio (par. 2)
Il par. 2 prevede che il DPO consideri debitamente, nell'eseguire i propri compiti, il rischio inerente ai trattamenti, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo. È regola di priorizzazione: il DPO concentra le proprie risorse sui trattamenti più rischiosi. L'approccio risk-based è oggi standard nei privacy management framework. Strumenti: tassonomia dei rischi, mapping dei trattamenti, audit calendar prioritizzato.
Regola pratica e checklist operativa
Compliance art. 39: (i) job description con tutti i compiti del par. 1; (ii) calendar di audit risk-based; (iii) procedure di consultazione del DPO; (iv) knowledge base e formazione continua; (v) reporting periodico al management; (vi) liaison strutturata con il Garante; (vii) KPI di performance del DPO. La professione è in maturazione.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: DPO e formazione del personale
Tizio, DPO, organizza formazione obbligatoria per HR, IT, marketing su GDPR. Lett. b): sensibilizzazione e formazione. Tracciamento presenze, knowledge check, refresh annuali.
Caso 2: Caio: DPO e parere su DPIA
Caio, DPO, esamina DPIA per nuovo sistema AI. Indica misure di mitigazione, contesta valutazione di rischio sottostimato. Il parere del DPO entra nella DPIA documentata.
Caso 3: Sempronio: DPO e ispezione Garante
Sempronio, DPO, coordina risposta a ispezione del Garante. Espone registro, DPIA, contratti, policy. La cooperazione tempestiva (art. 31) riduce sanzioni.
Caso 4: Commento applicativo
L'art. 39 è la cassetta degli attrezzi. DPO operativi hanno calendar di audit, dashboard di KPI, knowledge base interna, network di colleghi. La professione è in maturazione.
Domande frequenti
Quali sono i compiti del DPO?
Informare/consigliare (lett. a), sorvegliare l'osservanza (b), fornire parere su DPIA (c), cooperare con il Garante (d), fungere da contatto per l'Autorità (e).
Il DPO fa formazione?
Sì, fa parte della sorveglianza (lett. b): sensibilizzazione e formazione del personale che partecipa ai trattamenti. Documentata e tracciata.
Il DPO partecipa alla DPIA?
Sì. L'art. 35, par. 2 obbliga il titolare a consultare il DPO. L'art. 39, par. 1, lett. c) impone al DPO di fornire parere e sorvegliare lo svolgimento.
Come prioritizza i lavori?
Risk-based (par. 2): considera natura, ambito, contesto, finalità del trattamento. Concentra risorse sui trattamenti più rischiosi.
Il DPO risponde di violazioni?
No personalmente, salvo dolo o colpa grave. La responsabilità è del titolare. Il DPO è organo di controllo e consulenza, non gestore decisionale (la decisione resta del titolare).
Vedi anche