Con il nuovo Regolamento Europeo privacy (entrato in vigore il 24 maggio 2016 e applicato a tutti gli Stati membri dell’Unione europea a partire dal 25 maggio 2018), che sostituisce la materia attuale in tema privacy, sono state introdotte delle novità riguardanti la gestione e il controllo dei dati personali nelle imprese e negli enti pubblici.
Una di queste, forse la più importante, è stata la designazione del Responsabile della protezione dati personali ovvero del Data Protection Officer (DPO), figura resa obbligatoria per tutta la pubblica amministrazione e, quasi sempre, in ambito privato.
L'introduzione del DPO non è una novità assoluta nel panorama legislativo europeo, in quanto, nonostante nessuna legge comunitaria ne avesse mai previsto l'obbligatorietà, numerosi Stati dell'Unione l'avevano già ufficializzata recependo la direttiva 95/46/CE.
Vuoi sapere quali sono gli adempimenti previsti dalla nuova normativa europea sulla privacy?
Clicca qui e scarica gratuitamente la nostra checklist!
Si tratta di un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati, il quale viene incaricato di assicurare una corretta gestione dei dati personali nelle imprese e negli enti pubblici.
L’articolo n°39 del Regolamento stabilisce nel dettaglio quali sono i suoi compiti:
Il responsabile della protezione dati, in sostanza, deve essere tempestivamente coinvolto in tutte le questioni inerenti la protezione dei dati e sostenuto nell'esecuzione dei suoi compiti da parte del titolare e dal responsabile del trattamento, i quali devono fornirgli tutte le risorse necessarie per adempiere alle sue mansioni.
In qualunque caso, il suo lavoro deve svolgersi in assoluta autonomia e indipendenza, senza che nessuno gli dia alcuna istruzione circa l'esecuzione dei suoi compiti.
Il DPO viene scelto in base alle sue qualità professionali. Il titolare e il responsabile del trattamento devono considerare la sua preparazione in ambito di trattamento dati, sia sul piano teorico sia su quello pratico.
Viene nominato dal titolare e dal responsabile del trattamento in tre occasioni:
Può essere selezionato tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base ad un contratto di servizi.
DPO: perché meglio interno? Conosce bene i processi aziendali
Assicura il principio di imparzialità: se fosse un dipendente, svolgendo altre mansioni all’interno dell’azienda, potrebbe risultare autore di un possibile conflitto di interessi con quelle proprie dell’altro incarico.
Il supervisore deve, invece, essere una figura indipendente e al di sopra delle parti, un soggetto specifico ed esperto in materia, che si occupi esclusivamente della protezione dei dati personali.
Assicura le competenze richieste; difficilmente all’interno dell’Azienda è presente una figura con i requisiti richiesti dalla normativa (necessari per legge).
In sintesi, egli necessita di una preparazione specialistica, una formazione continua e di un’esperienza concreta acquisita sul campo nel corso del tempo, in modo da essere in grado di supportare adeguatamente le organizzazioni nell’ambito di un mercato unico digitale europeo.