IL DPO (acronimo di Data Protection Officer) si può definire come un “supervisore indipendente”, in italiano viene definito Responsabile Protezione Dati ed è una delle principali novità del regolamento europeo n. 679/2016 (GDPR, General Data Protection Regulation), entrato in vigore in tutti gli Stati membri dal 25 maggio 2018 e finalizzato ad assicurare un livello coerente di protezione della privacy delle persone fisiche in tutta l’Unione, per prevenire disparità e ostacoli nella libera circolazione dei dati personali.
Il regolamento ha rivoluzionato, nel vero senso del termine, la disciplina in materia di trattamento dei dati personali, operando su più fronti.
In primo luogo, ha adeguato la disciplina sul trattamento dei dati personali alle moderne tecnologie che, soprattutto nella nostra “era del digitale”, sono divenute strumenti di controllo della vita di ciascuno, approntando una normativa più incisiva rispetto a quella del passato, a garanzia della libertà degli individui di far conoscere di sè solamente ciò che si vuol far conoscere.
A differenza del passato, inoltre, la nuova disciplina europea si basa sul binomio responsabilizzazione/consapevolezza: responsabilizzazione (accountability) a carico di chi gestisce i dati personali e li tratta (quindi sia pubbliche amministrazioni che enti privati) da un lato, e, dall’altro, maggiore consapevolezza da parte dei “possessori” dei dati medesimi, ossia i cittadini, che vengono messi al centro della nuova cultura digitale.
Quali sono i compiti del DPO?
Tra i principali spunti innovativi della nuova privacy si colloca la figura del Responsabile della protezione dei dati (DPO), avente, tra gli altri, il compito di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e di porsi come referente principale con l’utenza presso ogni ente o struttura.
Gli interessati, infatti, possono contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento.
Si tratta di una figura obbligatoria quando i dati personali, tra l’altro, siano trattati da un’autorità pubblica o da un organismopubblico (quindi le pubbliche amministrazioni devono necessariamente dotarsene) e deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i suoi compiti. Può essere un dipendente interno dell’ente oppure assolvere i suoi compiti quale consulente esterno, in base a un contratto di servizi.
Il DPO è il “guardiano del dato”, perciò deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Deve, inoltre, essergli assicurato un potere di spesa per assolvere i compiti affidati, e al tal fine gli devono essere fornite le risorse necessarie; ha poi libertà di azione, nel senso che non riceve alcuna istruzione per quanto riguarda l’esecuzione di tali compiti e non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti.
Se hai suggerimenti, commenti o correzioni da segnalare, scrivi a blog.simoneconcorsi@simone.it