Responsabile protezione dati, qual è il suo ruolo?

La normativa sulla privacy 679/2016 approvata dall'Unione Europea ha creato e continua a creare una certa confusione. Il principale punto debole della normativa è quello di non sostituire il precedente codice sulla privacy ma si limita ad aggiungere nuove regole e introdurre molteplici variazioni per le organizzazioni che conservano e trattano i dati di persone fisiche con residenza nei Paesi dell'Unione.

Uno dei punti più confusionari è quello che riguarda il Dpo (data protection officer) ovvero il Responsabile della protezione dei dati. Infatti, proprio il Regolamento UE 679/2016 (articolo 37) prevede l'esistenza di questa figura. Designato dal titolare o dal responsabile del trattamento dati, il Dpo ha il compito di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all' applicazione del Regolamento stesso. Essendo un ruolo che coopera con l'Autorità, il suo nome deve essere comunicato al Garante, e rappresenta il punto di contatto (anche riguardo gli interessati) per le questioni connesse al trattamento dei dati personali.

La mansione del Dpo è quindi delicata e richiede una certa competenza e professionalità, che mostra soprattutto quando affronta le consulenze necessarie a progettare, verificare e mantenere il richiesto sistema organizzato di gestione per i dati personali. Un compito coadiuvato con il Titolare stesso, nella scelta di quali misure complessive (comprendenti anche la sicurezza) utilizzare e delle garanzie adeguate da fornire, in base ad ogni specifico contesto di lavoro. Tolto questo aspetto iniziale, dovrà poi lavorare in completa autonomia e indipendenza, per poi fare riferimento direttamente ai vertici. Il Dpo è una figura professionale esterna alla struttura del Titolare (ma anche un dipendente del titolare o del responsabile può ricoprire questo ruolo senza generare conflitto d'interessi) ed opera basandosi su un contratto di servizi.  

Si può trovare un elenco esemplificativo ma non esaustivo, delle categorie adatte a rientrare nella nomina di Dpo, come società finanziarie, di informazione creditizia e commerciale, istituti di credito, società di recupero crediti, sindacati, partiti politici,  società del campo delle utility (distribuzione gas, energia elettrica o telecomunicazioni), della somministrazione del lavoro e della ricerca del personale, così come società che forniscono servizi informatici, operanti nel settore della cura della salute e altre ancora.

Alcune categorie non necessitano della nomina di un Dpo, e tra queste rientrano le imprese individuali o familiari, e le piccole e medie imprese con riferimento ai trattamenti dei dati di fornitori e dipendenti, e i liberi professionisti operanti in forma individuale, solo per fare alcuni esempi. Come sottolineato dal Garante, rimane in ogni caso utile nominarne uno su base volontaria.