DPO – Responsabile della protezione dei dati – Nuova figura prevista dal Regolamento Europeo GDPR

Il Data Protection Officer (Responsabile della protezione dei dati) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 – GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16. Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018.

Il DPO (Data Protection Officer) dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica. Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy. Il linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.

Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato:

• da una pubblica amministrazione o da un suo organismo,
• da società con più di 250 dipendenti,
• da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza (il regolamento stabilisce quanto segue : “The DPO can be appointed between 2 and 5 years and is eligible for reappointment up to a maximum of 10 years.”). L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all’azienda oppure esterno in forza di un contratto di servizi.

I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

• • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
  • adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
  • operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo; e

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.