Il Privacy Officer (Data protection officer) nel nuovo regolamento europeo sulla privacy
Nel nuovo regolamento europeo sulla privacy si dà una particolare importante ad una nuova figura che compare ufficialmente nell’ambito del trattamento dati: il data protection officer o, come chiamato nel testo in italiano, responsabile della protezione dei dati.
Questa figura, obbligatoria per le pubbliche amministrazioni e per chi effettui trattamenti su larga scala, è una delle vere novità contenute nel regolamento e, contrariamente ad altre figure già conosciute per altre prescrizioni di legge, prevederà grosse differenze da quello che potrebbe essere il classico consulente o dipendente “adibito a…”.
Il data protection officer (o semplicemente DPO) dovrà essere una figura che dovrà essere scelto non tanto per la necessità di saziare una prescrizione tra le persone presenti in organico che magari si volessero accollare una nuova responsabilità, quanto per conoscenze e qualità professionali come ben specificato al paragrafo 5 art.37
“Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”
Il DPO potrà quindi essere scelto tra il personale in organico ma anche scelto tra una figura esterna, purché soddisfi particolari requisiti di formazione ma anche di conoscenza diretta e magari di attività lavorativa nello specifico settore della protezione dei dati.
Particolare prescrizione per tale figura è quella relativa al paragrafo 3 art. 38, che recita:
“Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”
Si tratta di una grandissima variazione che vede il DPO come figura centrale dei processi che però ha totale autonomia e non riceve quindi le istruzioni al titolare ma è invece fornitore di consulenza per poter apportare le modifiche laddove se ne richiedesse il bisogno. Questo assume un ruolo ancora più fondamentale nella scelta del DPO: considerando la grande autonomia richiesta, sarà fondamentale che la figura scelta sia competente, adeguatamente formato, conoscitore della materia ma soprattutto anche in grado di dialogare con tutti i soggetti interessati (ad esempio poter spiegare al reparto IT le variazioni da eseguire sui software, sulle procedure o sui dispositivi cabilitati al trattamento dati).
Il DPO sarà anche la figura incaricata designata ad interfacciarsi con l’autorità o che dovrà intervenire e rispondere qualora vi fosse una richiesta specifica da parte degli interessati.
È una svolta epocale? Potrebbe. In questo quadro d’insieme è sicuro che l’azienda (pubblica o privata) che debba affidarsi ad un consulente privacy esterno potrà e dovrà fare un’accurata selezione sapendo che, se prima chiunque potesse con un gestionale alla mano creare pratiche di privacy senza particolari formazione, adesso sarà fondamentale farsi supportare da professionisti che dovranno valutare l’impatto privacy in maniera totalmente diversa, assumendo anche e soprattutto responsabilità che fino all’approvazione del GDPR erano sempre in misura limitata.
Il DPO si propone quindi come una figura di “garanzia” per titolari del trattamento, degli interessati ma anche della stessa autorità, come confermato nell’art.39 paragrafo 2:
“Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.”
La domanda sorge spontanea: affidereste l’incarico spendendo il meno possibile giusto perché “va nominato”? Noi ci auguriamo decisamente di no 🙂