Regolamento europeo Privacy.
Le nuove linee di indirizzo per gli RPD (o DPO).
A distanza di tre anni dalla piena applicazione del Regolamento Ue 2016/679 in materia di privacy, si rilevano ancora diverse incertezze che impediscono la definitiva affermazione della figura Responsabile Protezione Dati (o DPO), obbligatoria per il settore pubblico.
A tal fine il Garante della Privacy ha emanato apposite Linee di indirizzo su questa figura professionale, riferimento essenziale soprattutto per la PA, nell’era della trasformazione digitale.
Ricordiamo che l’art. 37 del nuovo Regolamento Ue 2016/679, stabilisce espressamente che il Titolare del trattamento e il Responsabile del trattamento designino sistematicamente un “Responsabile della Protezione dei dati” o Data Protection Officer ogni qualvolta:
a) il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico [eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali];
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala ; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistano nel trattamento, su larga scala , di categorie particolari di dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché nel trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati.
Questo obbligo generalizzato è stato talvolta vissuto come un semplice adempimento formale, senza comprendere adeguatamente l’importanza della figura in questione nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati dal titolare. Ciò ha fatto sì che, una volta affidato l’incarico, in molte situazioni, non venisse prestata la dovuta attenzione ad aspetti quali il coinvolgimento del RPD, l’assegnazione di risorse sufficienti o l’attribuzione di ulteriori incarichi dalla dubbia compatibilità.
Con il nuovo documento di indirizzo – in corso di pubblicazione nella Gazzetta ufficiale – il Garante intende rispondere a diversi quesiti:
- Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa?
- Quali titoli e che tipo di esperienza professionale deve possedere?
- Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi?
- Come deve essere supportato e coinvolto, e per quali compiti?
Documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd)
in ambito pubblico.
GDPD – maggio 2021.
Ma la figura del Responsabile Protezione dati (o DPO) è altrettanto importante anche nel settore privato.
Egli, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale.
Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.
Proprio per questo il Garante è intervenuto aggiornando le Faq riguardanti il settore privato.
Letture consigliate: