L’introduzione del DPO non è una novità assoluta nel panorama legislativo europeo: nonostante nessuna legge comunitaria avesse mai previsto prima d’ora l’obbligatorietà di tale figura professionale, numerosi Stati dell’Unione l’avevano già ufficializzata recependo la direttiva 95/46/CE. In Italia, tuttavia, il Codice della Privacy (d.lgs. n. 196/2003) non ha istituito il responsabile della protezione dati, motivo per cui è ora necessario introdurre tale nuova figura professionale seguendo non solo i dettami del Regolamento UE, ma anche considerando il contesto legislativo nazionale.
Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
1.quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
2.quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3.quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
Il DPO viene selezionato e scelto in base alle sue qualità professionali e in particolar modo il titolare e il responsabile del trattamento devono considerare la preparazione del DPO in ambito di trattamento dati, sia sul piano teorico che su quello pratico. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.
In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all’autorità di controllo competente.
Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati nonché sostenuto nell’esecuzione dei suoi compiti dal titolare e dal responsabile del trattamento che gli devono fornire tutte le risorse necessarie sia per svolgere il suo lavoro, sia per permettergli di mantenere aggiornata la sua conoscenza specialistica. In qualunque caso il lavoro del DPO deve svolgersi in assoluta autonomia e indipendenza: nessuno può dargli alcuna istruzione circa l’esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.
L’articolo 39 del Regolamento specifica poi nel dettaglio quali sono i compiti minimi del DPO:
– informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;
– sorvegliare l’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
– fornire su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
– cooperare con l’autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un’eventuale attività di consultazione preventiva.
Infine è un diritto degli interessati contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati.
È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo.
Le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento (sebbene anche questi ultimi siano suoi superiori), e nonostante le garanzie di autonomia e indipendenza sancite dalla legge, bisogna chiedersi effettivamente quanti dipendenti sarebbero pronti a denunciare comportamenti o valutazioni errate del titolare e del responsabile del trattamento al top manager.
FONTE: IL SOLE 24 ORE