
CONSULENTE PRIVACY
Il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16. Il DPO è un professionista che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Le sue responsabilità all’interno di un’azienda sono molteplici, ma principalmente si basa sull’osservazione, valutazione e organizzazione della gestione del trattamento dati personali, per fare in modo che tutti i dati siano trattati nel rispetto delle normative privacy europee e nazionali.
Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:
1) Il trattamento dei dati è effettuato da un’autorità o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2) Le maggiori attività del titolare o del responsabile del trattamento consistono in azioni che richiedono il monitoraggio regolare e sistematico degli interessati su ampia scala;
3) Le attività principali del responsabile o del titolare del trattamento consistono nel trattamento di dati personali per categorie particolari presenti nell’articolo 9 o di dati relativi a reati e condanne penali di cui all’articolo 10.
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera i rischi inerenti al trattamento, dopo averne tenuto conto, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”