Lo scorso 16 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 “relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati”.
Detto Regolamento, entrato in vigore il 24 maggio 2016, abroga la vecchia Direttiva 95/46/CE (attuata in Italia prima con la legge n. 675/1996 e, successivamente, con il D. Lgs. n. 196/2003) e diventerà “direttamente” applicabile in tutti gli Stati membri dell’UE (senza necessità di un intervento legislativo dei singoli Stati) a decorrere dal 25 maggio 2018.
Il Regolamento introduce (all’art. 37) la nuova figura del “Responsabile della protezione dei dati personali” (Data Protection Officer – DPO).
Questa figura dovrà essere designata “obbligatoriamente” (dal Titolare del trattamento e dal Responsabile del trattamento) ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (c.d. dati particolari o sensibili, che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni politiche o filosofiche, o l’appartenenza sindacale, nonché dati genetici e biometrici o relativi alla vita o all’orientamento sessuale) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il “Responsabile della protezione dei dati” (che potrà essere un dipendente dell’azienda oppure un soggetto esterno e, in quest’ultimo caso, assolverà i suoi compiti in base ad un contratto di servizi) sarò designato in funzione delle sue qualità professionali e dovrà possedere una adeguata conoscenza della normativa e delle prassi di gestione dei dati personali. La sua attività dovrà essere svolta in piena autonomia e indipendenza, in assenza di conflitti di interesse.
Tra i vari compiti del “Responsabile della protezione dei dati” l’art. 39 del Regolamento elenca i seguenti:
a) informare e consigliare il Titolare o il Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne l’adempimento;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo (Garante della Privacy) per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Per completezza, è opportuno rammentare (per evitare di fare confusione tra le varie figure) che il “Titolare del trattamento” è il soggetto (persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo) che determina le finalità e i mezzi del trattamento dei dati personali, mentre il “Responsabile del trattamento” è il soggetto (persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo) preposto al trattamento dei dati personali per conto del titolare del trattamento (vedasi artt. 4, nn. 7 e 8, del Regolamento).
Avv. Stefano Comellini