Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il Data Protection Officer: in quali casi è obbligatorio nominarlo

Il nuovo Regolamento Europeo in materia di protezione dei dati personali, tra le numerose novità introdotte al fine di rafforzare i presidi posti a tutela della riservatezza degli individui, ha tracciato la nuova figura del Responsabile della Protezione dei dati (Data Protection Officer).

A partire dal 25 maggio 2018, un numero elevatissimo di enti pubblici (tutta la Pubblica Amministrazione), enti e società private nonché gli studi professionali, saranno obbligati a individuare e nominare il Data Protection Officer (di seguito D.P.O.), all’interno del proprio organico ovvero all’esterno tramite contratti di outsourcing.

Purtuttavia e nonostante il breve periodo di tempo che ci separa dal termine ultimo entro cui bisogna nominare tale figura, un ristrettissimo numero di istituzioni pubbliche e private si sta occupando o preoccupando di formare il Data Protection Officer, allo stato non paragonabile ad altra figura consulenziale o aziendale già esistente ed operativa. In altri termini, sul mercato italiano delle professioni, ad oggi, non si è in grado, a meno di “forzature” dannose e controproducenti, di riscontrare un profilo professionale dotato delle abilità e competenze richieste dal Regolamento Comunitario.

Secondo la nuova normativa europea, il Data Protection Officer è un professionista aziendale “poliedrico”, con competenze giuridiche, informatiche e aziendalistiche¸ tra le quali il profilo legale deve necessariamente prevalere sulle altre figure professionali (l’informatico e l’aziendale).

In buona sostanza, il Data Protection Officer si può definire come il professionista al servizio di vari soggetti istituzionali (azienda, ente, Pubblica Amministrazione, studi professionali ecc. ecc.), la cui mission è assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati dagli stessi. Il DPO avrà una necessaria vocazione giuridica, ma dovrà essere dotato di conoscenze adeguate di natura informatica e aziendale, che saranno supportate dalle figure che opereranno a suo sostegno (i Privacy Officer); egli costituirà il fulcro di tutti i processi aziendali e degli Uffici incardinati nelle Pubbliche Amministrazioni, in modo trasversale e con concretezza decisionale, a fianco del Top Management, consigliando e sorvegliando sulla corretta applicazione del Nuovo Regolamento Comunitario.

In pratica, la figura professionale del DPO come sopra delineata ad oggi non è ancora ben inquadrata nel nostro ordinamento giuridico e, allo stato attuale, appare di difficilissima reperibilità, eccezion fatta per rarissimi casi di professionisti che, vuoi per vocazione vuoi per esperienza personale, hanno operato in contesti aziendali connotati dalla trasversalità organizzativa.

Uno degli interrogativi principali che connotano attualmente la discussione in materia riguarda l’individuazione dei casi in cui sia obbligatorio designare il D.P.O., in quanto il Regolamento Comunitario introduce tale obbligo in presenza di attività dei titolari del trattamento che richiedono il monitoraggio regolare e sistematico di dati su larga scala. Considerata la genericità delle indicazioni fornite dal Regolamento stesso circa l’obbligatorietà o meno di tale designazione per le aziende, e stante invece l’obbligatorietà della designazione per tutte le pubbliche amministrazioni, il Working Party dei Garanti privacy europei ha emanato le linee guida per fornire i chiarimenti in merito.

Quando si configura un monitoraggio regolare e sistematico di dati su larga scala?

Per saperne di più scarica la guida.

Informazioni sull'autore