Tra i principali obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati (GDPR – General Data Protection Regulation) c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer.
In realtà, il Data Protection Officer rappresenta una figura già nota in molte legislazioni europee. Si pensi, ad esempio, agli ordinamenti anglosassoni dove sono già presenti da anni il Chief Privacy Officer (CPO), il Privacy Officer e il Data Security Officer.
Dal 25 maggio 2018 il DPO sarà obbligatorio per tutti i 28 Stati dell’Unione Europea, venendo così a rappresentare, anche in Italia, un elemento imprescindibile per la tutela dei dati personali.
Il DPO è un professionista a cui è affidata la responsabilità e la sicurezza dei dati personali. Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizioni in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzativo di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse necessarie per l’espletamento dei propri compiti.
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO. In particolare, esso svolge i seguenti compiti:
– informare il Titolare ed il responsabile del trattamento relativamente agli obblighi di legge scaturenti dal regolamento o da ulteriori normative dell’Unione in materia di dati personali;
– controllare l’osservanza del Regolamento da parte del Titolare del trattamento o del Responsabile del trattamento, sensibilizzando e formando il personale che partecipa alle operazioni di trattamento dei dati e alle relative attività di controllo;
– fornire pareri circa la valutazione d’impatto sulla protezione dei dati;
– collaborare con l’autorità di controllo, effettuando consultazioni su qualsiasi altra eventuale questione.
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il ruolo di responsabile della protezione dei dati può essere ricoperto da un dipendente del titolare o del responsabile, non in conflitto di interessi, che conosca la realtà operativa in cui avvengono i trattamenti oppure da un soggetto esterno. Il responsabile della protezione dei dati interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base in base a un contratto di servizi. Il Responsabile della protezione dei dati può svolgere altri incarichi a condizione che non sia in conflitto di interessi. Non può essere assegnato tale incarico al responsabile che si occupa di ICT come anche l’Amministratore Delegato, il Responsabile operativo, il Responsabile finanziario o sanitario, il Direttore marketing e quello delle Risorse umane. Qualora il Responsabile della Protezione dei dati personali sia individuato da un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.
La nomina del DPO è obbligatoria nel caso in cui il trattamento dei dati venga effettuato da un’autorità pubblica o da un organismo pubblico. Per organismo di diritto pubblico si intende tutti quegli organismi creati per soddisfare bisogni d’interesse generale a carattere non industriale o commerciale, dotati di personalità giuridica, con una attività finanziata per la maggior parte dallo Stato o da altri organismi di diritto pubblico.
Ma l’obbligo del DPO è presente anche per alcune aziende private. Più precisamente per quelle aziende le cui principali attività, cosidette core business, consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala nonché quando le attività principali del titolare del trattamento o del responsabile del trattamento riguardano il trattamento, su larga scala, di informazioni sensibili o di dati relativi a condanne penali e a reati. Al fine di stabilire se si tratta di un trattamento su larga scala le linee guida del Regolamento consigliano di prendere in considerazione i seguenti elementi:
– il numero di persone interessate ed il volume di dati;
– la durata dell’attività di elaborazione dei dati;
– l’estensione geografica dell’attività di trasformazione degli stessi.
Un Gruppo imprenditoriale può designare un unico responsabile della protezione dei dati personali, purchè tale responsabile sia facilmente raggiungibile da ciascuno stabilimento. Inoltre, deve essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
