Privacy: chi è il Data Protection Officer?

Come avevamo già anticipato lo scorso aprile nella notizia sul nuovo pacchetto privacy, il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Accanto ad alcune nuove regole fa la sua comparsa anche una nuova figura professionale, il Responsabile della protezione dei dati (Data Protection Officer).

Ma quali sono i suoi compiti e quali attività avranno l’obbligo di nominarne uno?

Il RPD dovrà:

  1. informare e consigliare il Titolare o il Responsabile del trattamento*, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.
  2. verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
  3. fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
  4. fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
  5. fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Quando è necessaria la presenza di un Responsabile della protezione dei dati?

Dovranno designare obbligatoriamente un RPD:

  1. amministrazioni ed enti pubblici, fatta eccezione per le
    autorità giudiziarie;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
  • Un Titolare del trattamento o un Responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati anche in casi diversi da quelli sopra indicati.
  • Un gruppo di imprese o soggetti pubblici possono nominare un
    unico Responsabile della protezione dei dati.

Quali sono i requisiti che deve avere un Responsabile della protezione dati?

Il RPD dovrà:

  1. possedere un’adeguata conoscenza della
    normativa e delle prassi di gestione dei dati
    personali;
  2. adempiere alle sue funzioni in piena indipendenza ed
    in assenza di conflitti di interesse;
  3. operare alle dipendenze del Titolare o del
    Responsabile oppure sulla base di un contratto di
    servizio.

Chi nomina il Responsabile della protezione dati?

Il RPD è nominato dal Titolare del trattamento o dal Responsabile del trattamento, l’uno o l’altro dovrà mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Fonte: Garante privacy

___________________________________________________

*I termini “Titolare del trattamento” e “Responsabile del trattamento”,  già presenti nel Codice privacy italiano, compariranno anche nei testi italiani del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i settori di prevenzione, contrasto e repressione dei crimini, entrambi in via di approvazione definitiva a Bruxelles.

Si tratta di un adattamento terminologico caldeggiato dal Garante per la protezione dei dati personali preoccupato di non veder sottoposti gli operatori del nostro Paese ad un inutile sforzo adattativo e interpretativo. L’iniziativa del Garante ha trovato anche il sostegno dei giuristi-linguisti di lingua italiana presso il Consiglio e il Parlamento Ue.

Le precedenti versioni italiane del Regolamento, infatti, riportavano i termini “responsabile del trattamento” (data controller) e “incaricato del trattamento” (data processor). Tuttavia, trattandosi, di fatto, di figure identiche quanto a caratteristiche soggettive a quelle che nel Codice privacy italiano sono indicate rispettivamente come “titolare” e “responsabile”, l’Autorità italiana ha chiesto ed ottenuto che i nuovi testi mantenessero tali diciture in modo da evitare a imprese, enti, professionisti e cittadini ogni possibile problema di interpretazione giuridica ed eventuali costi, anche materiali, connessi al cambiamento terminologico.

0
  Altri articoli