A cura del Centro studi fiscale Seac
Una delle più rilevanti novità alla disciplina privacy introdotta dalle norme europee è rappresentata dalla figura del "Data protection officer - DPO" ovvero il "Responsabile della protezione dati - RPD".
Il Regolamento UE 2016/679 non contiene una definizione del responsabile della protezione dati (RPD), ma ne disciplina l'obbligo di nomina e le funzioni negli artt. 37, 38 e 39. Tale figura è disciplinata operativamente (con riferimento all'ambito privato) dallo specifico Documento del Gruppo di Lavoro articolo 29 "Linee-guida sui responsabili della protezione dei dati (RPD)" (WP 243 del 13 dicembre 2016, rev. 01 del 5 aprile 2017).
La nomina del Responsabile della Protezione Dati può essere:
- obbligatoria, nei casi espressamente elencati nel Regolamento UE 2016/679 o se previsto dal diritto dell'Unione Europea o degli Stati membri, oppure
- facoltativa, qualora il titolare/responsabile del trattamento lo ritenga opportuno per una maggior tutela dei dati.
In ogni caso, la nomina del DPO vale per tutti i trattamenti svolti dal titolare o dal responsabile.
ATTENZIONE: La nomina del DPO, se richiesta, va effettuata, a seconda del verificarsi delle condizioni previste:
|
Ai fini della valutazione circa la necessità ovvero l'opportunità di procedere alla designazione di un DPO, devono essere analizzate le attività di trattamento poste in essere dal titolare e/o dal responsabile del trattamento. A seconda delle circostanze, l'obbligo/opportunità di designare un DPO potrebbe sussistere per il titolare ma non anche per il responsabile, o viceversa.
NOMINA OBBLIGATORIA
L'art. 37 del Regolamento prevede, per il titolare o il responsabile del trattamento, l'obbligo di nominare DPO se:
1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali. Il Gruppo di Lavoro articolo 29, nel proprio Documento WP 243, evidenzia che, nonostante normativamente non vi sia un obbligo espresso, la nomina del DPO è buona prassi anche per gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri.
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali o a reati.
Nei casi di cui ai precedenti punti 2 e 3, l'obbligo di nomina del DPO è soggetto ad una valutazione del tipo di attività posta in essere dal titolare del trattamento; il Gruppo di Lavoro articolo 29, nel proprio Documento WP 243, fornisce indicazioni utili per definire i concetti di: attività principali, trattamento su larga scala, monitoraggio regolare e sistematico.
NOMINA FACOLTATIVA
Il responsabile della protezione dati può essere nominato dal titolare o dal responsabile del trattamento anche su base volontaria.