Nuove professioni e normativa sulla Privacy: Data Protection Officer
Il Regolamento Europeo 2016/679 istituisce il Responsabile della Protezione Dati (DPO) che sarà obbligatoria dal 25 maggio 2018.
Il 27 aprile 2016 è stato emanato il Regolamento Ue 2016/679 del Parlamento Europeo e del Consiglio del relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Nel Regolamento viene tra l’altro introdotta la figura del Data Professional Officer. Entrato in vigore a maggio 2016, sarà applicato a tutti gli Stati Membri a partire dal 25 maggio 2018.
La nuova figura del Data Protection Officer (DPO) o Responsabile della Protezione dei dati (da non confondere con il nostro Responsabile del trattamento ex art. 29 del D.Lgs. 196/2003), è prevista come obbligatoria per gli enti pubblici e le pubbliche amministrazioni e in altri specifici casi previsti dalla nuova normativa dell’Unione Europea.
L’art. 37 del nuovo Regolamento stabilisce espressamente che il Titolare del trattamento e il Responsabile del trattamento designino sistematicamente un “Responsabile della Protezione dei dati” o Data Protection Officer ogni qualvolta:
a) il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico [eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali];
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala ; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistano nel trattamento, su larga scala , di categorie particolari di dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché nel trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati.
Pertanto, la designazione del DPO, oltre a risultare obbligatoria per tutti gli enti pubblici e le pubbliche amministrazioni (centrali e locali), nel settore privato risulta necessaria in particolari ambiti – come quello sanitario – e in tutti quelli in cui sono poste in essere attività di profilazione su larga scala.
Inoltre, è previsto che qualora il Titolare del trattamento o il Responsabile del trattamento sia un’Autorità pubblica o un organismo pubblico possa essere designato un unico Data Protection Officer per più enti pubblici o PA, ovviamente in ragione della loro dimensione e struttura organizzativa. In particolare, il DPO può essere individuato tra il personale dipendente in organico, oppure è possibile procedere a un affidamento di tale incarico all’esterno, in base a un contratto di servizi, riferendo direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento: in entrambe le ipotesi, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati all’Autorità garante per la protezione dei dati personali.
In ogni caso, è fondamentale che il DPO sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti elencati all’art. 39 del nuovo Regolamento 2016/679.
Il quadro normativo di riferimento delinea, dunque, il Data Protection Officer come una figura manageriale (executive manager), di consulenza e controllo, assimilabile, per taluni aspetti e per i requisiti di autonomia e indipendenza, alle funzioni che esercita un Organismo di Vigilanza (ex D.Lgs. 231/2001), ma ovviamente relativo all’ambito privacy: il DPO, infatti, funge sia da auditor sia da referente per la protezione dei dati e per la gestione degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’ente pubblico o dell’organizzazione privata in cui opera.
Tenendo conto del nuovo approccio delle norme dell’UE alla materia privacy e del principio dell’accountability (cioè come “responsabilizzazione”) che attribuisce maggiori responsabilità per i titolari e responsabili del trattamento, il Nuovo Regolamento prevede la possibilità che anche il profilo professionale del DPO, possa essere certificato.