È stata ufficializzata, con il nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, la figura “Data Protection Officer” o Responsabile della Protezione dei dati personali (abbreviata appunto come DPO).

Professionista con ruolo aziendale (anche in outsourcing) che interesserà sia la Pubblica Amministrazione  sia gli operatori privati e che dovrà necessariamente essere in possesso di competenze giuridiche, informatiche, di analisi dei rischi e dei processi aziendali.

La sua nomina spetta al titolare od al responsabile del trattamento.

Storicamente già presente in alcune legislazioni europee è un professionista che deve avere un ruolo aziendale dai contorni ben definiti che opera all’interno di un’azienda (sia essa pubblica che privata) e ne conosce bene processi e procedure che trattino i dati nel rispetto delle normative privacy europee e nazionali.

Al DPO spetteranno specifici compiti quali informare e fornire consulenza al titolare, al responsabile del trattamento nonché ai dipendenti che effettuano tale trattamento così come stabilito dal nuovo Regolamento; vigilare affinché il Regolamento, le altre norme sia UE e sia degli Stati Membri in relazione alla protezione dei dati personali, siano osservati ed attuati; occuparsi della formazione del personale; fornire pareri riguardo l’impatto dei trattamenti di dati e verificarne lo svolgimento; collaborare con l’autorità di controllo, anche in merito a questioni connesse al trattamento e ad eventuali pareri. Sul DPO ricade anche l’obbligo di svolgere le proprie mansioni in totale riservatezza.

Di fondamentale importanza la distinzione fra la nomina del DPO nei casi di trattamento di dati personali effettuato dalla Pubblica Amministrazione dai casi in cui il trattamento sia svolto da operatori privati. Infatti nel primo caso il DPO deve necessariamente essere designato dal titolare e dal responsabile del trattamento di dati personali (fatta eccezione dei tribunali giudiziari nell’esercizio delle loro funzioni giurisdizionali). Per quanto riguarda invece gli operatori privati, è necessario nominare il DPO unicamente nei casi in cui le attività principali del titolare o del responsabile del trattamento abbiano ad oggetto trattamenti che comportino un controllo continuo e sistematico degli interessati su larga scala e riguardino tipologie di dati dati sensibili (opinione politica, origine razziale o etnica, appartenenze sindacali, convinzioni religiose o filosofiche, dati genetici o relativi all’orientamento sessuale o condanne penali).

Come accennato precedentemente questa figura dovrà essere in possesso di specifici requisiti di competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse dovrà inoltre presidiare attraverso un’opera di sorveglianza, per una corretta applicazione del regolamento stesso, la normativa privacy, le procedure internamente adottate, l’attribuzione delle responsabilità e la formazione del personale. 

In conclusione si evince l’importanza che il DPO riveste all’interno dei Sistemi Informativi Automatizzati, aziende e PA dovranno pertanto prodigarsi, entro il 2018, a mettere in organico questa nuova professionalità che se per certi versi potrebbe sembrare un costo o un impegno aggiuntivo nel lungo periodo si rivelerà come valore aggiunto che ripagherà ampiamente la scelta intrapresa e anche perché con i tempi che corrono la sicurezza dei dati personali non può più essere rilegata ad un concetto formale appeso in una cornice.

Alessandro Bonu