Mondo-Privacy-Blog-data-protection-officer

DPO obbligatorio: quando?

12 Luglio 2016

Il nuovo Regolamento europeo sulla protezione dei dati personali (Reg. 2016/679) ha riacceso l’interesse intorno ad una figura già contemplata come facoltativa dalla Direttiva 95/46/CE del 1995 e la cui designazione viene ora prevista come obbligatoria, al ricorrere di determinati presupposti, dal Regolamento 2016/679. Stiamo parlando del DPO – Data Protection Officer –, il cui nome viene, non senza creare possibili confusioni, reso in italiano con “Responsabile della protezione dei dati”.

 

DPO: PROFILO E FUNZIONE

Il DPO, meglio noto come Privacy Officer, può essere sia un dipendente del Titolare del trattamento o un soggetto esterno legato a questo da un contratto di servizi. Si tratta, in sostanza, di un professionista aziendale incaricato dell’osservazione, della valutazione e dell’organizzazione della gestione del trattamento di dati personali. La figura del Data Protection Officer, designato in funzione delle sue conoscenze e abilità personali, appare pensata del legislatore europeo come garanzia ulteriore di trattamenti rispettosi delle normative privacy.

 

DPO: IN QUALI CASI È OBBLIGATORIO?

In base a quanto previsto dall’art. 37, il Titolare ed il Responsabile del trattamento dovranno designare un Privacy Officer nel caso in cui:

  • (a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali),
  • (b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
  • (c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

 

DPO: QUALI SONO I SUOI COMPITI?

Il nucleo minimo di compiti di cui verrà incaricato il Data Protection Officer comprende i doveri di:

  • (a) informare e consigliare il Titolare ed il Responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni vincolanti relative alla protezione dei dati;
  • (b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri in materia di dati personali, nonché delle politiche del Titolare e del Responsabile del trattamento in materia di protezione dei dati personali (inclusi l’attribuzione delle responsabilità, la sensibilizzazione del personale incaricato e i relativi audit);
  • (c) fornire, se richiesti, pareri in merito alla valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment, PIA) e sorvegliare i relativi adempimenti;
  • (d) cooperare e fungere da punto di contatto per il Garante per la protezione dei dati personali.

Il Privacy Officer dovrà, inoltre, fungere da punto di contatto per gli interessati in merito a qualunque problematica relativa al trattamento dei loro dati e all’esercizio dei loro diritti.

 

LA LUNGIMIRANZA DEL LEGISLATORE EUROPEO

È evidente come quello del Responsabile della protezione dei dati rappresenti un ruolo utile, certo, ma anche “scomodo”, in quanto potrebbe entrare in conflitto con le effettive esigenze operative aziendali. Di ciò si è sicuramente reso conto il legislatore europeo, il quale, all’art. 38, ha previsto clausole di salvaguardia e protezione di questo ruolo. In particolare, fanno riflettere gli avverbi “tempestivamente” e “adeguatamente” utilizzati dal legislatore per assicurare un coinvolgimento pieno ed effettivo del Privacy Officer nelle questioni riguardanti, appunto, la protezione dei dati personali.

Sempre in base al Regolamento, Titolare e Responsabile del trattamento devono fornire al Responsabile della protezione dei dati appropriate risorse, affinché questi possa assolvere i suoi compiti.
Quello del Data Protection Officer, inoltre, è concepito dal legislatore europeo come un ruolo indipendente e terzo nei confronti dell’azienda, per cui egli non dove essere condizionato, nello svolgimento della sua attività, da altri soggetti.

 

DESIGNAZIONE DEL DPO: UN BUON MOTIVO PER NON ASPETTARE IL 2018

Alla novità in esame, introdotta dal Regolamento (UE) 2016/679, sono seguiti molti pareri positivi, ma anche polemiche e dubbi.

I più accorti esperti in materia, tuttavia, non hanno mancato di evidenziare come sia fondamentale per le aziende provvedere con sollecitudine alla nomina del DPO. In particolare perché il trattamento dei dati personali è classificato dalla normativa nazionale come “attività pericolosa”, per cui l’applicazione dell’art. 2050 del Codice civile comporta l’inversione dell’onere della prova. Spetta, quindi, al Titolare del trattamento dimostrare di aver adottato tutte le misure idonee ad evitare il danno lamentato dall’attore.

In tale panorama normativo, la designazione del Privacy Officer rappresenta un passo avanti nell’attuazione di tutte quelle misure che garantiscono la “regola d’arte” della protezione dei dati personali, limitando il rischio di esposizione a condanne.

Gianluca Lombardi
About

Sempre aggiornato e in cerca di nuove sfide, l’Ing. Gianluca Lombardi vanta oltre 15 anni di esperienza nel settore e ha tenuto numerosi corsi e seminari sul tema in tutta Italia. L’Ing Lombardi è inoltre Socio CLUSIT dal 2003, Delegato Provinciale Federprivacy e certificato Privacy Officer dal TÜV. L’amore per l’informatica lo ha reso un esperto della privacy online oltre che tradizionale, in grado di individuare e risolvere qualsiasi complessità sempre al passo con la normativa e le nuove esigenze aziendali.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci