È stata recentemente pubblicata sul sito dell’Autorità garante per la protezione dei dati personali una tabella sinottica che descrive in poche righe la nuova figura del Responsabile della protezione dei dati personali (DPO) prevista dal Regolamento europeo sulla privacy concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.
Nel documento del Garante si legge che “il responsabile della protezione dei dati personali dovrà essere nominato dal titolare del trattamento o dal responsabile del trattamento”. Attenzione però, perché le definizioni utilizzate potrebbe confondere chi legge. Innanzitutto, la terminologia usata dall’Autorità appare in contrasto con quella utilizzata nel Regolamento europeo: infatti, quest’ultimo, all’art. 35, stabilisce che “il responsabile del trattamento e l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati”. Il legislatore europeo, nel nuovo Regolamento, non menziona assolutamente la figura del titolare del trattamento (che, di fatto, è tutta italiana).
Appare utile considerare anche i termini utilizzati nella versione in lingua inglese del Regolamento: in questa versione sono presenti le due figure del Data controller e del Data processor. Esse sarebbero equiparate, nel Regolamento europeo tradotto in lingua italiana, rispettivamente alle figure del Responsabile del trattamento e dell’Incaricato del trattamento.
Nel nuovo Regolamento generale sulla protezione dei dati, pertanto, la figura del Responsabile del trattamento come prevista dall’art. 29 del D.Lgs. n. 196/2003 avrà una nuova denominazione con nuovi compiti e funzioni (tra l’altro precisamente stabiliti nel testo europeo citato). Per essere più chiari possibile, la figura che, ad oggi, viene denominata come Titolare del trattamento, una volta entrato in vigore il citato Regolamento UE, assumerà il nome di Responsabile del trattamento.
Dunque, la figura che scomparirà completamente sarà quella dell’Incaricato del trattamento così come prevista dall’art. 30 dell’attuale Codice privacy (soggetti che nel nuovo regolamento europeo saranno indicati come “le persone autorizzate al trattamento dei dati personali” o “chiunque agisca sotto l’autorità dell’incaricato o sotto quella del responsabile del trattamento” ovvero “personale che partecipa ai trattamenti”).
La tabella in commento, perciò, genera molte perplessità circa queste due figure: il Responsabile del trattamento, previsto dal nuovo regolamento, avrà infatti funzioni e compiti nuovi e diversi da quelli della omonima figura disciplinata dal Codice privacy.
Con l’entrata in vigore del Regolamento UE, la figura del controller (ribadiamo, figura corrispondente al Titolare del trattamento nel Codice privacy) sarà responsabilizzata maggiormente. Il controller, in particolare, come sancito dall’art. 30 del Regolamento, e il processor (Incaricato del trattamento) dovranno mettere in atto misure tecniche e organizzative congrue per garantire un livello di sicurezza adeguato al rischio e, in caso di violazione dei dati personali, il controller dovrà notificare, ex artt. 31 e 32, senza ritardo, sia alle autorità competenti che agli interessati, i cosiddetti data breach avvenuti durante le operazioni di trattamento dei dati.
Attenzione, quindi, alle parole utilizzate. Se usate in maniera errata, seppur in buona fede, esse possono comportare gravi danni e, nel caso in commento, possono ingenerare molti dubbi e perplessità in chi legge e in chi dovrà, poi, applicare tali disposizioni.
