Sul sito dell’Autorità garante per la protezione dei dati personali è disponibile una procedura online per la comunicazione del nominativo e i relativi dati di contatto del Data Protection Officer (Dpo), se designato.
La comunicazione obbligatoria è prevista dall’articolo 37, paragrafo 7 del Regolamento UE/2016/679, ossia del regolamento europeo sulla data protection che entrerà, pienamente, in vigore dal 25 maggio prossimo.
Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati adottate dal Gruppo Articolo 29.
Si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Il Dpo obbligatorio per chi?
La figura fulcro introdotta dal regolamento europeo sulla protezione dei dati personali è prevista dall’articolo 37, che recita così:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura – introdotta dal Regolamento UE 2016/679 – che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
Per approfondire: