Il Data Protection Officer (DPO) – conosciuto in Italia con il titolo di Responsabile per la protezione dei dati– è una figura recentemente introdotta nel campo della Privacy. Entro il 25 maggio 2018, come definito dal Regolamento generale sulla protezione dei dati 2016/679, pubblicato sulla Gazzetta ufficiale europea il 4 maggio 2016, tutti gli Stati membri UE dovranno istituire e disciplinare questa figura.
Il ruolo del DPO: chi è
Il Data Protection Officer è quella figura che –integrata nell’ organizzazione aziendale (pubblica o privata) o in outsourcing– si occuperà di organizzare e vigilare sulla gestione dei dati personali, al fine di assicurare il corretto trattamento secondo le normative sulla privacy a livello europeo e nazionale.
Il ruolo del DPO: le 5 funzioni
Le funzioni del Data Protection Officer individuate dal Regolamento europeo sono le seguenti:
- Informazione e consulenza – il DPO si occuperà di informare, aggiornare e fornire consulenza ai responsabili dell’organizzazione in tema di privacy (titolare o responsabile del trattamento dei dati), così come a tutti i dipendenti, per ciò che riguarda gli obblighi normativi sulla privacy.
- Sorveglianza – il DPO dovrà vigilare sull’osservanza del regolamento e delle altre normative europee e nazionali sulla privacy. Si dovrà occupare anche di attribuire le responsabilità in pateria di protezione dei dati, di promuovere la formazione e sensibilizzare il personale sul tema.
- Valutazione – il DPO su richiesta potrà fornire un parere di valutazione d’impatto sulla protezione dei dati.
- Cooperazione – il DPO è richiesta la piena collaborazione con le autorità di controllo.
- Punto di contatto – il DPO è l’interfaccia tra l’organizzazione e le autorità di controllo.
Nomina del Data Protection Officer
Il Responsabile della protezione dei dati è obbligatorio nei seguenti casi:
- Amministrazioni ed enti pubblici (tranne le autorità giudiziarie);
- soggetti la cui attività primaria è il trattamento dei dati che richiedono controllo regolare e sistematico degli interessati;
- soggetti la cui attività principale è la raccolta e il trattamento di dati sensibili (salute, vita sessuale, dati genetici, giudiziari e biometrici).
La nomina del Data Protection Officer può avvenire anche all’ infuori dei casi sopra citati, su base volontaria.