
DPO obbligatorio: quando?
12 Luglio 2016
Il nuovo Regolamento europeo sulla protezione dei dati personali (Reg. 2016/679) ha riacceso l’interesse intorno ad una figura già contemplata come facoltativa dalla Direttiva 95/46/CE del 1995 e la cui designazione viene ora prevista come obbligatoria, al ricorrere di determinati presupposti, dal Regolamento 2016/679. Stiamo parlando del DPO – Data Protection Officer –, il cui nome viene, non senza creare possibili confusioni, reso in italiano con “Responsabile della protezione dei dati”.
DPO: PROFILO E FUNZIONE
Il DPO, meglio noto come Privacy Officer, può essere sia un dipendente del Titolare del trattamento o un soggetto esterno legato a questo da un contratto di servizi. Si tratta, in sostanza, di un professionista aziendale incaricato dell’osservazione, della valutazione e dell’organizzazione della gestione del trattamento di dati personali. La figura del Data Protection Officer, designato in funzione delle sue conoscenze e abilità personali, appare pensata del legislatore europeo come garanzia ulteriore di trattamenti rispettosi delle normative privacy.
DPO: IN QUALI CASI È OBBLIGATORIO?
In base a quanto previsto dall’art. 37, il Titolare ed il Responsabile del trattamento dovranno designare un Privacy Officer nel caso in cui:
- (a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali),
- (b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
- (c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).
DPO: QUALI SONO I SUOI COMPITI?
Il nucleo minimo di compiti di cui verrà incaricato il Data Protection Officer comprende i doveri di:
- (a) informare e consigliare il Titolare ed il Responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni vincolanti relative alla protezione dei dati;
- (b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri in materia di dati personali, nonché delle politiche del Titolare e del Responsabile del trattamento in materia di protezione dei dati personali (inclusi l’attribuzione delle responsabilità, la sensibilizzazione del personale incaricato e i relativi audit);
- (c) fornire, se richiesti, pareri in merito alla valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment, PIA) e sorvegliare i relativi adempimenti;
- (d) cooperare e fungere da punto di contatto per il Garante per la protezione dei dati personali.
Il Privacy Officer dovrà, inoltre, fungere da punto di contatto per gli interessati in merito a qualunque problematica relativa al trattamento dei loro dati e all’esercizio dei loro diritti.
LA LUNGIMIRANZA DEL LEGISLATORE EUROPEO
È evidente come quello del Responsabile della protezione dei dati rappresenti un ruolo utile, certo, ma anche “scomodo”, in quanto potrebbe entrare in conflitto con le effettive esigenze operative aziendali. Di ciò si è sicuramente reso conto il legislatore europeo, il quale, all’art. 38, ha previsto clausole di salvaguardia e protezione di questo ruolo. In particolare, fanno riflettere gli avverbi “tempestivamente” e “adeguatamente” utilizzati dal legislatore per assicurare un coinvolgimento pieno ed effettivo del Privacy Officer nelle questioni riguardanti, appunto, la protezione dei dati personali.
Sempre in base al Regolamento, Titolare e Responsabile del trattamento devono fornire al Responsabile della protezione dei dati appropriate risorse, affinché questi possa assolvere i suoi compiti.
Quello del Data Protection Officer, inoltre, è concepito dal legislatore europeo come un ruolo indipendente e terzo nei confronti dell’azienda, per cui egli non dove essere condizionato, nello svolgimento della sua attività, da altri soggetti.
DESIGNAZIONE DEL DPO: UN BUON MOTIVO PER NON ASPETTARE IL 2018
Alla novità in esame, introdotta dal Regolamento (UE) 2016/679, sono seguiti molti pareri positivi, ma anche polemiche e dubbi.
I più accorti esperti in materia, tuttavia, non hanno mancato di evidenziare come sia fondamentale per le aziende provvedere con sollecitudine alla nomina del DPO. In particolare perché il trattamento dei dati personali è classificato dalla normativa nazionale come “attività pericolosa”, per cui l’applicazione dell’art. 2050 del Codice civile comporta l’inversione dell’onere della prova. Spetta, quindi, al Titolare del trattamento dimostrare di aver adottato tutte le misure idonee ad evitare il danno lamentato dall’attore.
In tale panorama normativo, la designazione del Privacy Officer rappresenta un passo avanti nell’attuazione di tutte quelle misure che garantiscono la “regola d’arte” della protezione dei dati personali, limitando il rischio di esposizione a condanne.