Il Data Protection Officer (DPO) – conosciuto in Italia con il titolo di Responsabile per la protezione dei dati– è una figura recentemente introdotta nel campo della Privacy. Entro il 25 maggio 2018, come definito dal Regolamento generale sulla protezione dei dati 2016/679, pubblicato sulla Gazzetta ufficiale europea il 4 maggio 2016, tutti gli Stati membri UE dovranno istituire e disciplinare questa figura.

Il ruolo del DPO: chi è

Il Data Protection Officer è quella figura che –integrata nell’ organizzazione aziendale (pubblica o privata) o in outsourcing– si occuperà di organizzare e vigilare sulla gestione dei dati personali, al fine di assicurare il corretto trattamento secondo le normative sulla privacy a livello europeo e nazionale.

Il ruolo del DPO: le 5 funzioni

Le funzioni del Data Protection Officer individuate dal Regolamento europeo sono le seguenti:

1. Informazione e consulenza – il DPO si occuperà di informare, aggiornare e fornire consulenza ai responsabili dell’organizzazione in tema di privacy (titolare o responsabile del trattamento dei dati), così come a tutti i dipendenti, per ciò che riguarda gli obblighi normativi sulla privacy.
2. Sorveglianza – il DPO dovrà vigilare sull’osservanza del regolamento e delle altre normative europee e nazionali sulla privacy. Si dovrà occupare anche di attribuire le responsabilità in pateria di protezione dei dati, di promuovere la formazione e sensibilizzare il personale sul tema.
3. Valutazione –  il DPO su richiesta potrà fornire un parere di valutazione d’impatto sulla protezione dei dati.
4. Cooperazione – il DPO è richiesta la piena collaborazione con le autorità di controllo.
5. Punto di contatto – il DPO è l’interfaccia tra l’organizzazione e le autorità di controllo.

Nomina del Data Protection Officer

Il Responsabile della protezione dei dati è obbligatorio nei seguenti casi:

• Amministrazioni ed enti pubblici (tranne le autorità giudiziarie);
• soggetti la cui attività primaria è il trattamento dei dati che richiedono controllo regolare e sistematico degli interessati;
• soggetti la cui attività principale è la raccolta e il trattamento di dati sensibili (salute, vita sessuale, dati genetici, giudiziari e biometrici).

La nomina del Data Protection Officer può avvenire anche all’ infuori dei casi sopra citati, su base volontaria.