La nuova figura del Data Protection Officer (DPO): ruolo, responsabilità ed obblighi per le aziende connessi alla nomina del Responsabile del Trattamento Dati.
Con il nuovo regolamento UE n. 2016/679 sulla protezione dei dati nell’Unione Europea, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati Membri, è stato introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO). Il gruppo di lavoro europeo dei Garanti Privacy ha approvato le linee guida del regolamento e la disciplina applicabile al DPO, chiarendone obblighi di nomina, caratteristiche, requisiti, ruolo e responsabilità.
La figura del DPO
Il suo scopo è osservare, valutare e organizzare la gestione del trattamento di dati personali, nonché vigilare sulla loro protezione vigilare e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all’interno dell’azienda (pubblica o privata). Il DPO:
- può essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
- deve godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo;
- ha conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
- in caso di trattamenti non conformi al regolamento europeo, non è personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno però rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
- la sua funzione può essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.
Nomina DPO
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di trasporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi pubblicitari.
Diversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.).
Ulteriori precisazioni arriveranno a breve da parte del Garante italiano per la Privacy, che renderà noto un documento utile a comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento europeo, ad esempio quantificando e rendendo più chiaro il concetto di “larga scala”.