La nuova figura del Data Protection Officer (DPO): ruolo, responsabilità ed obblighi per le aziende connessi alla nomina del Responsabile del Trattamento Dati.
Con il nuovo regolamento UE n. 2016/679 sulla protezione dei dati nell’Unione Europea, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati Membri, è stato introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO). Il gruppo di lavoro europeo dei Garanti Privacy ha approvato le linee guida del regolamento e la disciplina applicabile al DPO, chiarendone obblighi di nomina, caratteristiche, requisiti, ruolo e responsabilità.
La figura del DPO
Il suo scopo è osservare, valutare e organizzare la gestione del trattamento di dati personali, nonché vigilare sulla loro protezione vigilare e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all’interno dell’azienda (pubblica o privata). Il DPO:
- può essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
- deve godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo;
- ha conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
- in caso di trattamenti non conformi al regolamento europeo, non è personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno però rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
- la sua funzione può essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.
Nomina DPO
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di trasporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi pubblicitari.
Il 22 novembre 2016 il Gruppo Articolo 29 (cioè i Garanti europei per la privacy riuniti in un unico organismo) ha pubblicato, come step iniziale di un programma di più ampio respiro, le prime linee guida interpretative in merito al nuovo regolamento europeo in materia di dati personali (Reg. 679/16). In particolare sono state dettate tre linee guida (accompagnate da delle FAQ) in materia di Data Protecion Officer, Portabilità e Criteri per la individuazione della “Autorità capofila”.
Le Linee Guide sul Data Protection Officer (suddivise in tre sezioni: designazione, posizione giuridica e compiti del DPO) e le FAQ (che forniscono anche esempi concreti) permettono, a prescindere dall’obbligatorietà o meno dell’adozione di tale figura all’interno dell’azienda, di comprendere con maggiore profondità e competenza le indicazioni dettate dalla nuova normativa in materia di dati personali.
NUOVO REGOLAMENTO PRIVACY
FONTE: pmi