DPO: Il ruolo del Data Protection Officer

E’ oramai imminente il termine per l’attuazione all’interno dei paesi membri della UE del Regolamento 2016/679, meglio noto a tutti come GDPR, avente ad oggetto la unificazione, secondo regole comuni a tutti i paesi membri, del trattamento dei dati personali e sensibili e la relativa circolazione degli stessi. Una importante, nonché nuova figura introdotta dal Regolamento è quella del Data Protection Officer (DPO).

Il Regolamento identifica all’art. 37, par. 1, lett. b) e c) le realtà che dovranno obbligatoriamente nominare il DPO, cioè le autorità pubbliche o organismi pubblici, escluse le autorità giurisdizionali quando esercitano la funzione giurisdizionale, le realtà che pongono in essere attività che attuano il monitoraggio regolare e sistematico dei dati degli interessati su larga scala, le realtà in cui il titolare del trattamento o il responsabile del trattamento dei dati trattano, su larga scala, categorie particolari previste all’art. 9 del Regolamento stesso o i dati relativi a condanne penali ed ai reati previsti dall’art. 10.

Per i casi che non rientrano tra quelli indicati all’art. 37, par. 1, lett. b) e c), la nomina del DPO è, comunque, consigliata.

Il DPO dovrà avere le necessarie competenze tecniche e normative legate alla gestione dei dati personali, trovarsi in una posizione terza ed imparziale, dovrà verificare l’attuazione e l’applicazione di quanto stabilito dal Regolamento Europeo e la conformità delle procedure alla normativa connessa al Regolamento. Il DPO avrà un ruolo di controllo, supervisione e coordinamento nella gestione e tutela dei dati personali per la struttura con cui collaborerà.

Il nominativo del DPO verrà comunicato al Garante per Privacy con cui vi sarà una cooperazione per la protezione visto che il DPO potrà anche autonomamente consultare il Garante.

Malgrado, ad oggi, il Regolamento definisce la figura del DPO in maniera molto vasta e generica, possiamo sicuramente ritenere che costui dovrà effettuare una valutazione dei rischi connessi al trattamento dei dati personali, trovare delle soluzioni, essere in possesso di competenze normative in materia sia a livello comunitario che nazionale, effettuare delle verifiche e coordinare le attività sottese alla corretta gestione e tutela dei dati personali con cui entra in possesso l’organizzazione in cui opera.

Al momento, il Regolamento non impone particolari attestazioni o l’iscrizione ad appositi albi e/o elenchi, ma è indubbio che il DPO dovrà possedere un background multidisciplinare.

Se hai bisogno di una consulenza in ambito di Diritto Societario in materia di trattamento dei dati o in materia di Privacy  e/o devi nominare un DPO, contatta uno dei nostri avvocati compilando il form nella sezione “Contatti”