Autonomo, specializzato e con un budget di spesa. Sono le caratteristiche principali del responsabile della protezione dei dati personali (Data Protection Officer, DPO) presentate in una scheda diffusa dal Garante della privacy sul suo sito.
Il DPO è previsto nella proposta di regolamento Com(2012)11, destinato a sostituire la direttiva 95/46 e con essa il Codice italiano della privacy (dlgs 196/2003). L’iter per l’approvazione definitiva del regolamento dovrebbe concludersi nei primi mesi del 2016. Ci sarà poi tempo per adeguarsi.
Nel frattempo la figura del responsabile privacy comincia a farsi strada anche a legislazione vigente. Nella scheda sul DPO si spiega, salvo modifiche, quando sarà prevista la nomina, come deve essere scelto e che compiti avrà.
Va, però, ricordato che già, a legislazione vigente, è possibile istituire una figura assimilabile al DPO, con deleghe specifiche nella materia della protezione dei dati. Si tratta di una opzione organizzativa, che ha trovato applicazione in realtà aziendali medio-grandi.
Qualche esperienza analoga (creazione di uffici ad hoc per la privacy) si trova anche nel settore pubblico, ma si tratta di unità organizzative che molto spesso accorpano più funzioni, tra cui quello relativo alla gestione dei trattamenti. Vediamo in sintesi il contenuto della scheda predisposta dal garante.
NOMINA OBBLIGATORIA
Secondo la proposta di regolamento (suscettibile di emendamenti) dovranno designare obbligatoriamente un responsabile della protezione dei dati:
Ciò non toglie che possa essere nominato un DPO anche fuori da questi casi, per scelta dell’impresa.
Va sottolineato che nel settore pubblico non vi sarà esonero in base al numero dei dipendenti e che, quindi, tutte le p.a. dovranno dotarsene, valorizzando propri dipendenti o ricorrendo a consulenze esterne.
REQUISITI
Il responsabile della protezione dei dati deve essere uno specialista della privacy e deve essere collocato in una posizione di autonomia, visto che esercita funzioni di controllo e vigilanza.
Godrà di una relativa inamovibilità per un termine di due anni e dovrà avere a disposizione risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
COMPITI
Il DPO dovrà:
Il DPO avrà il compito di:
Il DPO avrà la responsabilità della valutazione d’impatto dei trattamenti sulla protezione dei dati e sarà il punto di contatto per il Garante per la protezione dei dati personali.
Se poi il Garante rivolge richieste alla p.a. o all’impresa, il DPO dovrà curare che venga data tempestiva risposta.
Sull’inquadramento della figura si discute: