Una tra le principali novità introdotte dal Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679, anche noto come GDPR) è certamente l’introduzione della figura del responsabile della protezione dei dati (RPD) (o Data Protection Officer, DPO), rispetto alla quale la stessa normativa europea individua i casi in cui si renda obbligatoria la sua designazione, la relativa posizione e i compiti all’interno del contesto organizzativo in cui si inserisce.
I tre casi in cui la nomina del DPO è obbligatoria:
- Quando un trattamento di dati personali è “effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”;
- Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”;
- Quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relative a condanne penali e ai reati di cui all’articolo 10”.
I dati del DPO nominato devono essere resi pubblici affinché ciascun interessato possa prendere contatto diretto con questo soggetto e devono essere anche comunicati all’Autorità Garante attraverso la pagina Web a questo scopo attivata, con invio sottoscritto digitalmente a cura del titolare del trattamento. Il Garante, in caso di necessità, prenderà contatto direttamente con il DPO potendo così ottenere risposte puntuali e circostanziate.
I compiti di questa figura sono indicati esplicitamente all’interno dell’art. 39 e possono essere così sintetizzati: informare e fornire consulenza al titolare e al responsabile, ma anche al personale dipendente della società o dell’ente, in merito agli obblighi stabiliti dal Regolamento.
Questo significa avere a disposizione in modo continuativo un professionista esperto in materia di privacy che possa supportare tutte le funzioni aziendali, fornendo indicazioni operative prima che ciascuna decisione venga presa, in ossequio al principio fondamentale della privacy by design.
Oltre a questo il DPO deve sorvegliare l’osservanza degli obblighi privacy da parte di tutti i soggetti coinvolti dalla catena delle responsabilità. Viene anche fatto un esplicito riferimento alla sensibilizzazione e alla formazione del personale in materia di trattamento dati personali, aspetti molto spesso pesantemente trascurati in molti contesti lavorativi, mentre è dall’avere operatori consapevoli che parte la vera tutela dei diritti degli interessati. Ulteriore compito individuato è quello di fornire pareri in merito alla valutazione d’impatto di cui all’art. 35 e di sorvegliarne lo svolgimento ad opera del titolare.
Il DPO ha poi obblighi specifici rispetto all’autorità di controllo, essendo tenuto al collaborare in caso di richieste di informazioni o ispezioni e fungere da punto di contatto con la stessa per qualsiasi questione inerente al trattamento dei dati personali.
Il vero valore aggiunto di questa figura aziendale è la sua presenza effettiva e continuativa all’interno dell’ente e il supporto consulenziale, al di là dei contenuti tecnici giuridici che vengono trasferiti al cliente, soprattutto credo che aiuti il titolare del trattamento a non “perdersi dei pezzi”, a non trascurare le implicazioni privacy della propria attività per mancanza di tempo o di competenza.