L’articolo si propone di illustrare brevemente la nuova figura del Data Protection Officer, introdotta dal Reg. UE 2016/679, che sarà obbligatoria a partire dal prossimo 25 maggio 2018. L’analisi affronta tutte le questioni più delicate riguardanti il DPO, dai requisiti per la designazione, alla definizione dei compiti fino agli aspetti contrattuali più rilevanti

(*) Articolo estratto da Amministrazione & Finanza n. 03/2018, Ipsoa, Milano, 2018.

Inquadramento giuridico del Data Protection Officer
Il quadro di riferimento in termini di compliance per la protezione dei dati nell’Unione Europea, tracciato dal Reg. UE 2016/679 (“Regolamento Generale in materia di Protezione dei Dati”, di seguito anche “RGPD”), ruota attorno al principio di responsabilizzazione (accountability). In forza di questo principio, che costituisce l’aspetto più rilevante tra le novità introdotte in tema di privacy rispetto all’assetto prima delineato dalla Direttiva UE 95/46/CE, al Titolare del trattamento è affidato il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento (1).
Il Responsabile della Protezione dei Dati – RPD (o Data Protection Officer – per brevità, di seguito anche “DPO”) è una figura che si colloca al centro di questo nuovo quadro giuridico fondato sul principio di responsabilizzazione, con il ruolo principale di agevolare e accompagnare tutti i soggetti coinvolti nel trattamento dei dati personali verso una corretta osservanza delle norme del Regolamento. Tale complessa funzione si articola in due principali linee direttrici: da una parte, al DPO sono assegnati compiti di controllo e sorveglianza, oltre che di consulenza, nell’ambito dell’organizzazione del Titolare e del Responsabile del trattamento; dall’altra, invece, il DPO deve fungere da interfaccia e da punto di collegamento tra tutti i soggetti coinvolti (dalla base ai vertici dell’organizzazione, fino agli interessati ed alle autorità di controllo).

Nel panorama europeo, la figura del DPO non rappresenta una novità assoluta. Infatti, sebbene non prevista dalla precedente disciplina di cui alla Direttiva 95/46/CE, in numerosi Stati membri la nomina di figure analoghe è divenuta una prassi assai consolidata (2). Le norme principali sul Responsabile della Protezione dei Dati sono contenute nella Sezione 4, Capo IV del Reg. UE 2016/679; in particolare, l’art. 37 RGPD prevede le condizioni per la designazione obbligatoria del DPO e ne descrive i profili di natura organizzativa, l’art. 38 RGPD, invece, inquadra e definisce la posizione e lo status del Responsabile della Protezione dei Dati e, infine, l’art. 39 RGPD delinea i principali compiti assegnati al DPO. Oltre alle citate disposizioni, all’interno di numerose altre norme del Regolamento si rinvengono ulteriori richiami a tale figura, che contribuiscono…

Per consultare l’articolo completo clicca qui.