Mancano ormai pochi mesi al 25 maggio 2018, data in cui sarà direttamente applicabile, da parte degli Stati membri, il Regolamento UE 2016/679 (GDPR). Oggetto di riforma è il trattamento dei dati personali e la circolazione degli stessi. Tra le novità introdotte spicca la figura del DPO (Data Protection Officer), in italiano Responsabile della Protezione dei Dati, il cui compito è garantire l’osservanza della normativa in oggetto, in linea col principio ispiratore della stessa, che si fonda sul concetto di responsabilizzazione (accountability).

La nomina del DPO è obbligatoria in tre casi specifici: (a) se le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, (b) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali) e (c) se le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati o di dati personali relativi a condanne penali e reati. Sicuramente, quando le attività svolte coinvolgono l’utilizzo di dati su larga scala la nomina del DPO sarà imprescindibile.

Come segnala l’Autorità Garante per la Protezione dei Dati Personali, i gruppi imprenditoriali potranno nominare un unico DPO, il quale dovrà possedere qualità professionali e conoscenze specialistiche della normativa, nonché  delle prassi in materia di protezione dei dati. Il livello di tali qualità e conoscenze dovrà essere commisurato al grado di sensibilità che gli stessi dati presentano.

Il titolare del trattamento potrà scegliere se nominare un proprio dipendente oppure un soggetto esterno, sulla base di un contratto di servizi, e all’atto di nomina dovranno essere specificati i motivi che hanno portato alla scelta del soggetto designato come DPO, le generalità dello stesso e le funzioni attribuitegli. Nello svolgimento delle proprie funzioni il DPO dovrà godere di un adeguato livello di autonomia ed indipendenza, al fine di assicurare il migliore risultato auspicabile. A seconda poi del livello di sensibilità e complessità dei dati trattati sarà possibile creare, a livello aziendale, un ufficio dedicato a supporto del DPO.

Infine, sotto il profilo sanzionatorio, nel caso in cui vi sia la violazione degli obblighi previsti in capo al responsabile del trattamento, si potrà incorrere in sanzioni amministrative per un importo sino a 10.000.000,00 Euro, o per gruppi di imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente. In questi casi sarà il titolare del trattamento a rispondere e non il DPO.

di Alberto Passiu