Il Responsabile della protezione dei dati personali

Il Garante per la privacy ha pubblicato una scheda relativa alle caratteristiche e alle funzioni del Responsabile della protezione dei dati personali (Data Protection Officer), così come definito nella proposta di Regolamento COM(2012)11 concernente la “Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.

Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva che sarà formalizzato nei primi mesi del 2016 dal Consiglio e dal Parlamento UE, e culminerà con la pubblicazione nella Gazzetta Ufficiale. Il pacchetto protezione dati sarà in vigore dalla primavera del 2018 (due anni di vacatio).

Dovranno designare obbligatoriamente un Responsabile della protezione dei dati personali:

• amministrazioni ed enti pubblici, quindi anche le scuole;
• imprese con 250 o più dipendenti;
• tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.

Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati.

I requisiti

Il Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

1. possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera;
2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare oppure sulla base di un contratto di servizio. L’incarico avrà una durata di almeno 2 anni e sarà rinnovabile. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

I compiti

Il Responsabile della protezione dei dati personali dovrà:

1. informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
2. vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
3. verificare l’attuazione e l’applicazione del Regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di base di dati e sistemi (privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
4. garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
5. controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
6. controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
7. fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
8. controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.