Data Protection Officer

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento UE n. 679/2016  del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), il quale  in estrema sintesi  indirizza i suoi interventi sulle seguenti questioni principali:

  • Introduzione di  regole più chiare su informativa e consenso;
  • Definizione di limiti al trattamento automatizzato dei dati personali;
  • Definizione delle basi per l’esercizio di nuovi diritti;
  • Introduzione del principio di responsabilizzazione dei soggetti (pubblici e privati) che gestiscono i dati personali;
  • Individuazione di criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissazione di norme rigorose per i casi di violazione dei dati (data breach);
  • Introduzione della nuova figura del responsabile della protezione dei dati personali (RPD) o nella versione inglese spesso utilizzata Data Protection Offcer (DPO).

Quest’ultima figura è di assoluta novità ed è pienamente descritta nel Regolamento, sia per quanto riguarda le sue mansioni, sia per il ruolo che esso ricompre all’interno dell’azienda/ Ente.
In particolare, l’articolo 39 del Regolamento fissa i compiti principali del DPO  i quali sono, in particolare, i seguenti:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;
  • cooperare con l'autorità di controllo;
  • fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.  

Il Regolamento, inoltre, evidenzia con molta precisione le garanzie che devono accompagnare il DPO nello svolgimento del suo ruolo, precisando che il DPO è dedito esclusivamente alla protezione dei dati personali e, in questo senso, diventa essenziale il requisito dell’autonomia e indipendenza che il DPO deve avere nell’esercizio delle sue funzioni
Tali requisiti sono a tal punto importanti che lo stesso Regolamento chiarisce nell’articolo 38 commi 2 e 3 che “Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento (omissis)”.
Per riassumere, dunque, si può ben affermare che il legislatore europeo ha inteso rispondere all’esigenza di assicurare un’azione di protezione del dato uniforme in tutti gli Stati dell’Unione Europea, prevedendo una figura che possa supportare il titolare o il responsabile nelle attività di trattamento dei dati personali, nonché monitorare l’osservanza del Regolamento, fungendo, in ultima istanza, da punto di contatto per l’autorità di controllo.

Per maggiori informazioni sulla figura del DPO è possibile consultare la pagina ad esso dedicata sul sito del Garante per la protezione dei tati personali www.garanteprivacy.it.

Contatti

I dati di contatto del Responsabile della Protezione dei Dati (RPD) sono i seguenti:
indirizzo: Agenzia delle Dogane e dei Monopoli –Responsabile della protezione dei dati personali, Via Mario Carucci n. 71 - 00143 Roma; email: adm.dpo@adm.gov.it