Il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce una figura preposta al controllo della compliance aziendale in riferimento al trattamento dei dati personali.
L'introduzione da parte del nuovo regolamento del Data Protection Officer (DPO) assicura la presenza costante in azienda di un professionista con conoscenze specialistiche della normativa e delle prassi riguardanti la protezione dei dati personali. L'osservanza delle nuove norme risulta indispensabile anche alla luce della recente sentenza della Corte Europea dei Diritti dell'Uomo, che il 5 settembre ha condannato la Romania per violazione dell’articolo 8 della Convenzione europea dei diritti dell'uomo.
Il Data Protection Officer (DPO): quando è obbligatorio?
Per essere reso effettivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce la figura del Data Protection Officer (DPO), il responsabile della sicurezza dei dati. In Italia, il Codice della Privacy (d.lgs. n. 196/2003) non lo prevedeva, motivo per cui è ora necessario introdurre una nuova figura professionale in molti enti e aziende. Il DPO è un professionista con conoscenze specifiche in ambito di trattamento dati, sul piano teorico e su quello pratico. Sebbene possa anche essere selezionato tra i dipendenti del titolare del trattamento, è consigliabile individuare un soggetto esterno: la legge garantisce l’autonomia del soggetto, ma occorre domandarsi se davvero un dipendente denuncerebbe comportamenti o valutazioni errate del titolare o del responsabile del trattamento ai vertici aziendali, a cui il DPO direttamente risponde.
Il titolare del trattamento ha il compito di designarlo in tre occasioni:
- quando il trattamento è attuato da un'autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni);
- nel caso i trattamenti consistano e richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
- se il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
Negli altri casi i titolari e i responsabili del trattamento, nonché loro associazioni o altri organismi che li rappresentano, devono designare il responsabile della protezione dati che può agire per le stesse associazioni e organismi.
I dati di contatto del DPO devono comunque essere resi noti agli interessati e comunicati all'autorità di controllo competente.
I compiti del Data Protection Officer
L’articolo 39 del Regolamento specifica nel dettaglio i compiti minimi del DPO:
- fornire consulenza e informare il titolare e il responsabile del trattamento in merito agli obblighi derivanti dal Regolamento o dalle altre disposizioni legislative nazionali o europee che disciplinano la protezione dati;
- vigilare sull’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, inclusi l’attribuzione delle responsabilità, la formazione e la sensibilizzazione del personale addetto al trattamento;
- condividere su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
- cooperare con l’autorità di controllo in qualità di punto di contatto con l’ente per questioni legate al trattamento di dati, con particolare riguardo a un’attività di consultazione preventiva.
È infine un diritto degli interessati potersi rivolgere al responsabile della protezione dei dati in merito al trattamento che li riguarda.
L’introduzione di questa nuova figura permette di avere un soggetto specializzato, che si occupi esclusivamente della protezione dei dati personali, restando aggiornato sui rischi, i problemi e le misure di sicurezza capaci di garantire un livello di tutela adeguato.
Attenzione alla compliance aziendale
Una sentenza della Grande Camera della Corte europea dei diritti dell’uomo del 5 settembre ha mostrato che un’azienda che non rispetta le norme sulla tutela della privacy dei dipendenti non riuscirà a far valere in giudizio le proprie ragioni nei confronti di un dipendente inadempiente. Occorre quindi che tutte le aziende predispongano un documento di valutazione dei rischi privacy e un regolamento interno sull'uso della posta e degli altri strumenti elettronici in dotazione ai lavoratori, che ne diano comunicazione ai dipendenti e che lo rispettino.