Un modello ‘facsimile’ che consente ai soggetti pubblici e privati di familiarizzare con la comunicazione obbligatoria al Garante Privacy del nominativo del Data Protection Officer (Dpo), se designato. L’adempimento potrà, effettivamente, essere soddisfatto nei prossimi giorni quando sul sito www.garanteprivacy.it sarà attivata la modalità online per la comunicazione del nome del responsabile della protezione dei dati.
La comunicazione obbligatoria è prevista dall’articolo 37, paragrafo 7 del Regolamento UE/2016/679, ossia del regolamento europeo sulla data protection che entrerà, pienamente, in vigore dal 25 maggio prossimo.
Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati adottate dal Gruppo Articolo 29.
Si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Il Dpo obbligatorio per chi?
La figura fulcro introdotta dal regolamento europeo sulla protezione dei dati personali è prevista dall’articolo 37, che recita così:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura – introdotta dal Regolamento UE 2016/679 – che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
Antonello Soro: ‘DPO e GDPR, la priorità è fare una comunicazione efficace’
Rispetto alla figura del Dpo, “L’attività principale di tutti è quella di fare una comunicazione efficace – ha detto il Garante per la protezione dei dati personali Antonello Soro – per rendere consapevoli le imprese e le pubbliche amministrazioni su quello che il nuovo regolamento imporrà agli uni e agli altri”.
Ora come ora, la difficoltà maggiore del Garante è far capire soprattutto alle imprese che la protezione del loro patrimonio informativo è “un interesse strategico d’impresa – ha detto Soro – e non un obbligo imposto da una legge fastidiosa o da una burocrazia non moderna”.
Il Dpo, secondo il garante privacy europeo
“Le autorità nazionali hanno gli anticorpi per difendersi – ha detto Giovanni Buttarelli, il Garante europeo per la protezione dati – il DPO sarà una figura importante, purché non sia un semplice dispensatore di pater noster e ave gloria in azienda”. Il problema si sposta quindi sull’effettiva capacità di questa nuova figura professionale di essere indipendenti e di dare pareri “pro veritate e non pro causa”.
Per approfondire:
