la novità

Privacy, chi è e cosa farà il responsabile protezione dei dati (obbligatorio dal 2018)

di |

Ospedali, banche, ministeri, Regioni, comuni, telco e motori di ricerca dal 2018 dovranno nominare il Data Protection Officer. Chi è, cosa farà e come si diventa.

Il regolamento dell’Unione europea (n. 2016/679) sulla protezione dei dati ha introdotto, tra l’altro, il responsabile per la protezione dei dati, il Data Protection Officer (DPO). Ora il gruppo europeo dei Garanti per la privacy, approvando le linee guida del regolamento, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati membri, ha definito l’identikit, il ruolo e la responsabilità di questa nuova figura.

Data Protection Officer: chi è e qual è il suo compito?

È una figura professionale che vigila sulla corretta applicazione del regolamento Ue sulla privacy all’interno dell’organizzazione del titolare dei dati; inoltre è la persona che può essere contattata dal Garante della privacy e dai cittadini in merito al trattamento dei dati personali.  Il Data Protection Officer dovrà godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Questo soggetto è già conosciuto nel mondo anglosassone con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.

Responsabile protezione dati: gli enti e le strutture che devono nominarlo per forza

La nomina del responsabile per la protezione dei dati sarà obbligatoria (non appena l’Italia applicherà il Regolamento europeo sulla privacy) per  gli enti pubblici e per i soggetti privati che effettuano un monitoraggio delle persone su larga scala o trattano dati sensibili su larga scala.  Dunque gli enti pubblici, tranne gli organi giudiziari, devono nominare il Data protection officer: quindi i ministeri, le università, i comuni e le Regioni. E ancora: gli ospedali, i sistemi di traporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca per trattamenti di dati per pubblicità mirata al comportamento delle persone.

Responsabile protezione dai: chi non è obbligato a nominarlo

Non sono obbligati a nominare il responsabile per la protezione dei dati, per esempio, gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.). Per maggiori informazioni conviene attendere il Garante italiano per la Privacy che a breve predisporrà delle apposite schede di approfondimento per comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento europeo.

Il profilo del Data Protection Officer

Secondo le linee guida è opportuno che il Dpo abbia una conoscenza sulla normativa nazionale ed europea e sulla legislazione in materia di protezione dei dati. Per quanto riguarda la sua responsabilità i Garanti europei hanno deciso che in caso di trattamenti non conformi al regolamento europeo, il Dpo non è personalmente responsabile, perché, stando allo stesso Regolamento, la dimostrazione della sua osservanza è a carico del titolare e del responsabile del trattamento. Allo stesso tempo va ricordato che in caso di cattiva consulenza al titolare del trattamento, questo potrà fargli causa per inadempimento del contratto di servizio e per chiedere i conseguenti danni.

Il Dpo negli enti e nelle imprese

Le linee guida evidenziano, infine, che la funzione di Data Protection Office può anche essere svolta da un consulente esterno o da un’organizzazione esterna (per esempio una società) sulla base di un contratto di servizi.