Print Friendly, PDF & Email

Responsabile protezione dati, qual è il suo ruolo?

 21/12/2018

La normativa sulla privacy 679/2016 approvata dall’Unione Europea ha creato e continua a creare una certa confusione. Il principale punto debole della normativa è quello di non sostituire il precedente codice sulla privacy ma si limita ad aggiungere nuove regole e introdurre molteplici variazioni per le organizzazioni che conservano e trattano i dati di persone fisiche con residenza nei Paesi dell’Unione.

Uno dei punti più confusionari è quello che riguarda il Dpo (data protection officer) ovvero il Responsabile della protezione dei dati. Infatti, proprio il Regolamento UE 679/2016 (articolo 37) prevede l’esistenza di questa figura. Designato dal titolare o dal responsabile del trattamento dati, il Dpo ha il compito di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’ applicazione del Regolamento stesso. Essendo un ruolo che coopera con l’Autorità, il suo nome deve essere comunicato al Garante, e rappresenta il punto di contatto (anche riguardo gli interessati) per le questioni connesse al trattamento dei dati personali.

La mansione del Dpo è quindi delicata e richiede una certa competenza e professionalità, che mostra soprattutto quando affronta le consulenze necessarie a progettare, verificare e mantenere il richiesto sistema organizzato di gestione per i dati personali. Un compito coadiuvato con il Titolare stesso, nella scelta di quali misure complessive (comprendenti anche la sicurezza) utilizzare e delle garanzie adeguate da fornire, in base ad ogni specifico contesto di lavoro. Tolto questo aspetto iniziale, dovrà poi lavorare in completa autonomia e indipendenza, per poi fare riferimento direttamente ai vertici. Il Dpo è una figura professionale esterna alla struttura del Titolare (ma anche un dipendente del titolare o del responsabile può ricoprire questo ruolo senza generare conflitto d’interessi) ed opera basandosi su un contratto di servizi.  

Si può trovare un elenco esemplificativo ma non esaustivo, delle categorie adatte a rientrare nella nomina di Dpo, come società finanziarie, di informazione creditizia e commerciale, istituti di credito, società di recupero crediti, sindacati, partiti politici,  società del campo delle utility (distribuzione gas, energia elettrica o telecomunicazioni), della somministrazione del lavoro e della ricerca del personale, così come società che forniscono servizi informatici, operanti nel settore della cura della salute e altre ancora.

Alcune categorie non necessitano della nomina di un Dpo, e tra queste rientrano le imprese individuali o familiari, e le piccole e medie imprese con riferimento ai trattamenti dei dati di fornitori e dipendenti, e i liberi professionisti operanti in forma individuale, solo per fare alcuni esempi. Come sottolineato dal Garante, rimane in ogni caso utile nominarne uno su base volontaria.

Articolo di Laura Egidi

Torna in alto