Per rendere la protezione dei dati ancora più sicura ed effettiva il Regolamento (UE) 2016/679 che entrerà in vigore in Italia il 25 maggio 2018, ha previsto l’introduzione della figura del Data Protection Officer (DPO), ovvero il responsabile della sicurezza dei dati.
Tra i nuovi principi e adempimenti introdotti dal Regolamento vi è il Principio di Accountability (c.d. principio di “responsabilizzazione”), in virtù del quale tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire in ogni fase del processo la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.
Chi è il DPO e quali requisiti sono richiesti?
Il DPO è un professionista che deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il DPO può essere selezionato tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, assunto in base a un contratto di servizi. Il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza, ciò vuol dire che non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabilità della protezione.
Quando deve essere designato un DPO?
Il DPO viene designato dal titolare e dal responsabile del trattamento in tre occasioni:
- Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- Quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessi su larga scala (es. operatori che effettuano profilazione per finalità di marketing comportamentale, erogazione premi assicurativi, localizzazione tramite applicazioni, programmi di fedeltà);
- Quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati (es. ospedali, assicurazioni e istituti di credito).
Le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento.
Quali sono i suoi compiti?
L’art 39 del Regolamento europeo sulla protezione dei dati personali elenca i compiti minimi del DPO:
- Informare e fornire consulenza al Titolare o al Responsabile del trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- Sorvegliare l’osservanza del presente regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- Fornire se richiesto un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35;
- Fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali;
- Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Avv. Marco Napolitano