Il Nuovo Regolamento Europeo ha introdotto una figura molto importante che nella versione italiana della norma viene definito Responsabile della Protezione dei dati. Il suo ruolo è fondamentale, seppur non obbligatorio per tutte le aziende.

Il nuovo Regolamento europeo sulla protezione dei dati personali (Reg. 2016/679) ha riacceso l’interesse intorno ad una figura già contemplata come facoltativa dalla Direttiva 95/46/CE del 1995 e la cui designazione viene ora prevista come obbligatoria, al ricorrere di determinati presupposti, dal Regolamento 2016/679. Stiamo parlando del Data Protection Officer (DPO), il cui nome viene, non senza creare possibili confusioni, reso in italiano con “Responsabile della protezione dei dati”.

Il DPO, meglio noto come Privacy Officer, può essere sia un dipendente del Titolare del trattamento o un soggetto esterno legato a questo da un contratto di servizi. Si tratta, in sostanza, di un professionista aziendale incaricato dell’osservazione, della valutazione e dell’organizzazione della gestione del trattamento di dati personali. La figura del Data Protection Officer, designato in funzione delle sue conoscenze e abilità personali, appare pensata del legislatore europeo come garanzia ulteriore di trattamenti rispettosi delle normative privacy.

IN QUALI CASI È OBBLIGATORIO DESIGNARE IL PRIVACY OFFICER?

In base a quanto previsto dall’art. 37, il Titolare ed il Responsabile del trattamento dovranno designare un Privacy Officer nel caso in cui:

  • (a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali),
  • (b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
  • (c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

QUALI SONO I COMPITI DEL PRIVACY OFFICER?

Il nucleo minimo di compiti di cui verrà incaricato il Data Protection Officer comprende i doveri di:

  • (a) informare e consigliare il Titolare ed il Responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni vincolanti relative alla protezione dei dati;
  • (b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri in materia di dati personali, nonché delle politiche del Titolare e del Responsabile del trattamento in materia di protezione dei dati personali (inclusi l’attribuzione delle responsabilità, la sensibilizzazione del personale incaricato e i relativi audit);
  • (c) fornire, se richiesti, pareri in merito alla valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment, PIA) e sorvegliare i relativi adempimenti;
  • (d) cooperare e fungere da punto di contatto per il Garante per la protezione dei dati personali.

Il Privacy Officer dovrà, inoltre, fungere da punto di contatto per gli interessati in merito a qualunque problematica relativa al trattamento dei loro dati e all’esercizio dei loro diritti.

La designazione del Privacy Officer rappresenta un passo avanti nell’attuazione di tutte quelle misure che garantiscono la “regola d’arte” della protezione dei dati personali, limitando il rischio di esposizione a condanne.