La nomina di un Dpo (data protection officer, in italiano Rpd, responsabile per la protezione dei dati), che secondo il regolamento europeo non è obbligatoria per tutti, è «raccomandata» dal Garante a tutti i titolari «anche alla luce del principio di accountability che permea il regolamento».
Questa una delle indicazioni fornite dal Garante della privacy nelle Faq, pubblicate sul suo sito, relative al comparto privato in vista dell’entrata in vigore del Regolamento (Gdpr) il 25 maggio 2018.
Si ripete, dunque, quello che già era accaduto con la tenuta del «Registro delle attività di trattamento», disciplinato dall’articolo 30 del Gdpr. Una misura prescritta per soggetti o trattamenti di rilevante importanza diventa consigliata alla generalità dei titolari e individuata come modalità favorita per dimostrare il rispetto dei requisiti del Gdpr (in caso di controversie, ispezioni, procedimento davanti al Garante).
Il motivo è facile da intuire: il regolamento è una norma nuova che, almeno rispetto alla legislazione italiana, muta la struttura del sistema privacy. Fino al 25 maggio, i titolari devono dimostrare di avere messo in atto misure minime per la tutela dei dati trattati; dal 25 maggio in poi le misure che permetteranno di dimostrare la compliance con il regolamento devono essere sufficienti (il principio di accountability, appunto).
La sufficienza delle misure andrà misurata ex ante. Il titolare dovrà provare di aver adottato misure tali da rendere i dati e i trattamenti sicuri e legittimi. Il registro in cui annotare trattamenti e regole può certamente costituire una prima prova di ciò; e così un Dpo validamente scelto (garanzia di competenza e professionalità) e dotato delle necessarie strutture e risorse (personale, locali, attrezzature).
Di certo la sua nomina dovrà essere un processo sostanziale e non un obolo formale alle prescrizioni del Gdpr. Quindi, non solo il Dpo designato dovrà possedere i requisiti di «conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» previsti dall’articolo 37 del regolamento, ma dovrà anche interagire con le funzioni aziendali per assicurare il rispetto della normativa, la gestione delle criticità e, in aggiunta, «fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento» (articolo 39).
Questa inedita figura a metà tra la consulenza e la garanzia è stata individuata fin da subito come una delle novità più evidenti introdotte dal Regolamento. Il Dpo può essere sia un consulente che un dipendente, ma anche in quest’ultimo caso deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali.
Non ci sono incompatibilità con altri incarichi, ma il Garante evidenzia la necessaria assenza di un «conflitto di interesse» in capo al Dpo. Ciò può creare qualche problema all’interno delle aziende, che in molti casi potrebbero essere portate a nominare responsabile un dipendente che si sta già occupando attivamente di privacy.
Invece, dice il Garante, è sconsigliabile nominare Dpo chi opera all’interno di strutture che hanno potere decisionale in ordine alle finalità e alle modalità del trattamento dei dati, e quindi (se ne deduce) anche chi ha costruito e gestisce in prima persona il sistema e i documenti privacy di una società. Queste risorse dovranno essere, semmai, il punto di contatto con il Dpo. La scelta della persona da nominare non va quindi sottovalutata. Il responsabile è una professione creata ex novo dal Regolamento; potrebbe diventare uno dei cardini su cui ruota l’intero sistema privacy.
fonte Sole24Ore 85/18 AB
