Responsabile Privacy, l’obbligatorietà a maggio 2018

DPO (data protection officer) o Responsabile della protezione dei dati è la nuova figura prevista dal regolamento europeo 2016/679 che diventerà operativo a partire dal prossimo 25 maggio.

Progettare la Privacy
Sarà un ruolo funzionale al nuovo concetto di privacy disegnato da dalle regole UE, disposizioni che tra poco meno di due mesi varranno per tutti i paesi dell’Unione senza le declinazioni nazionali conosciute fino ad oggi.
Fa perno sul concetto di accountability, l’attenta valutazione di tutti i rischi privacy connessi a una particolare situazione e la predisposizione di adeguate misure di protezione.
Progettualità e flessibilità che i recenti fatti di Facebook dimostrano quanto mai necessaria per non doversi trovare a fronteggiare disastrose perdite di dati personali.
Il DPO deve possedere una conoscenza adeguata dei processi di gestione delle informazioni e deve agire in piena autonomia nel garantire il rispetto da parte della struttura in cui opera del regolamento europeo e del resto della normativa privacy.
Non sono necessari particolari titoli di studio o abilitazioni.

Gli otto punti chiave spiegati dall’Authority

1) Responsabile della protezione dei dati personali (Rpd) e i suoi compiti
E’ una figura prevista dall’articolo 37 del regolamento (UE) 2016/679; si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del regolamento medesimo.
Coopera con l’Autorità (il suo nominativo va comunicato al Garante) e costituisce il punto di contatto per le questioni connesse al trattamento dei dati.

2) Requisiti che deve possedere il Rpd
Non sono richieste specifiche attestazioni formali o l’iscrizione ad appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

3) Soggetti privati obbligati alla sua designazione
L’articolo 37 paragrafo1, lettere b) e c) del regolamento (UE) 2016/679 indica che si tratta di soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
Sono quindi tenuti alla nomina: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; Caf e patronati; società operanti nel settore delle utilities; imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società call centre; società che erogano servizi televisivi a pagamento.

4) Soggetti per i quali non è obbligatoria la designazione   
Non è obbligatoria la designazione dei casi diversi dall’articolo 37 paragrafo 1, lettere b) e c)del regolamento (UE) 2016/679, come ad esempio in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Resta comunque raccomandata, anche alla luce del principio di accountability, la designazione di tale figura i cui criteri di nomina rimangono gli stessi sopra descritti.

5) Possibilità di nomina di un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale
Il regolamento prevede che si possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascun stabilimento.

6) Rdp interno o esterno
Il ruolo può essere ricoperto da un dipendente del titolare o del responsabile che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può anche essere affidato a soggetti esterni.

7) Compatibilità con altri incarichi
Si a condizione che non sia conflitto di interessi. Appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione, ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento.

8) Rpd come persona fisica o un soggetto diverso
Il regolamento UE prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.

Sanzioni pesanti per chi omette la designazione
Obbligatoria è la designazione del Dpo per tutti gli enti pubblici, cioè senza alcun discrimine; mentre obbligatoria lo è per i privati, solo in presenza di determinate circostanze.
Conseguente è la necessita, per il contesto privato, di operare una preliminare valutazione finalizzata a stabilire la sussistenza delle condizioni di legge che fanno scattare tale obbligo.
L’omessa designazione del Dpo obbligatorio è sanzionabile amministrativamente con il pagamento di una somma il cui massimo ammontare è pari a 10 milioni di euro ovvero, se superiore, al 2% del giro di affari globale annuo.