Il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali “cd. Gdpr”, che entrerà in vigore a partire da maggio, offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, ispirato al principio di responsabilizzazione (accountability) e pone l’attenzione sulla nomina della figura del Data Protection Officer (DPO).
L’articolo 37 del Regolamento Ue, indica tre ipotesi, alternative fra loro, in cui il titolare del trattamento e il responsabile del trattamento sono obbligati a designare un DPO, e più precisamente, quando il trattamento è svolto da autorità pubblica, salvo quella giudiziaria, quando le attività principali del titolare del soggetto privato consistono nel monitoraggio regolare e sistematico degli interessati su larga scala ed, infine, quando le attività principali del soggetto privato riguardano dati sensibili o giudiziari su larga scala.
Alla luce delle novità normative, le imprese pubbliche e private che svolgono trattamenti sui dati, hanno la necessità di essere monitorati da un soggetto (DPO) che sia indipendente rispetto alle logiche aziendali, che sorvegli sulla osservanza del Regolamento Ue e delle specifiche prescrizioni delle autorità nazionali, che cooperi con l’Autorità di Controllo, nonché fornisca informazioni e pareri a coloro i quali gestiscono il trattamento dei dati sull’eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento.
Le pubbliche amministrazioni, così come i soggetti privati, dovranno, pertanto, scegliere il DPO, verificando la presenza di qualità professionali, competenze ed esperienze specifiche ed, in particolare, la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dati.
Il “profilo ideale” delineato dagli interpreti risponde a quello di un professionista esterno all’azienda, dotato delle necessarie competenze giuridiche, informatiche, nonché delle capacità di analisi e valutazione dei rischi connessi al trattamento dei dati rapportandoli alla sicurezza e alla gestione delle informazioni.
L’Ufficio del Garante, in una nota inviata ad una azienda ospedaliera, ha ribadito che “ i Dpo dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere. Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti”.
Cautela, diligenza e particolare attenzione è richiesta ai titolari e responsabili del trattamento che qualora non adempiano ai loro obblighi e non si conformino alle nuove disposizione dettate dal Regolamento, incorreranno in asprissime sanzioni per un importo fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
