Tra le tante novità introdotte dal nuovo Regolamento (UE) 2016/679 sulla Privacy[1], la figura del Responsabile della protezione dei dati, o Data Protection Officer (DPO) riveste un ruolo cruciale.
Il Regolamento (UE) 2016/679 si basa infatti sul concetto di “accountability”, intesa come responsabilizzazione del titolare, a cui verranno demandate alcune funzioni che tradizionalmente erano svolte dal Garante per la protezione dei dati personali. Una delle attività di maggior rilievo che il titolare dovrà compiere è la valutazione d’impatto sulla protezione dei dati prima di effettuare operazioni di trattamento (art. 35 del Regolamento), e la consultazione dell’Autorità nei casi di rischio particolarmente elevato per gli interessati (art. 36 del Regolamento).
È opportuno sottolineare come già il Codice italiano sulla Privacy abbia precorso i tempi, individuando nello strumento della valutazione preliminare le tutele a garanzia dalle persone nei casi di “rischi specifici”, e da questo punto di vista possiamo dire che esiste nel nostro Paese una “cultura” della tutela rispetto agli impatti particolarmente invasivi per le nostre vite che possono derivare dai trattamenti. Oggi, grazie al Regolamento europeo, questa “cultura” di tutela verrà promossa in tutta Europa. Ciò comporterà un adeguamento tecnico e organizzativo da parte di molti titolari, i quali dovranno fare questa valutazione preliminare per i diversi tipi di trattamento, soprattutto quelli che presentano maggiori rischi.
Questa delicata funzione di valutazione del rischio non spetterà più unicamente al Garante per la protezione dei dati personali, ma direttamente al titolare che, caso per caso, dovrà valutare la rischiosità del trattamento in modo responsabile o meglio, così come citato testualmente dall’art 5 del Regolamento (UE) 2016/679, in modo “responsabilizzante”.
La figura che dovrà assistere il titolare in questa valutazione è il Responsabile della protezione dei dati, o Data Protection Officer (DPO).
I requisiti richiesti al DPO, nell’assunzione di questo ruolo di fondamentale importanza, sono sia di natura tecnica che giuridica: rientra infatti tra i compiti del DPO quello di informare e consigliare il titolare in merito agli obblighi derivanti dal Regolamento, ad esempio in materia di privacy by design e di misure di sicurezza.
Su quest’ultimo aspetto è bene sottolineare come il Regolamento (UE) 2016/679 introduca una novità importante: a differenza di quanto avviene per l’attuale normativa italiana sulla privacy, che prevede (con l’Allegato B del Codice) una lista prescrittiva contenente le cosiddette misure minime di sicurezza, di natura tecnica ed organizzativa, che il titolare deve attuare per tutelarsi da eventuali incidenti sui dati, il Regolamento europeo presuppone che le misure siano di volta in volta individuate a seguito di un assessment della rischiosità associata al trattamento (art. 32 del Regolamento). Dunque, la valutazione del rischio diventa un passaggio cruciale.
E sempre commisurata al rischio è la scelta nell’applicazione delle misure di Privacy by design e Privacy by default (art. 25 del Regolamento). La novità più importante è qui costituita dal concetto di tutela integrata nel trattamento, intesa come la possibilità di offrire nuove tutele alle persone, in aggiunta ai tradizionali strumenti di natura giuridica – come consenso e informativa – attraverso forme di trattamento concepite per dare garanzie e tutele alle persone, quali la pseudonimizzazione e l’anonimizzazione dei dati.
Ricapitolando quindi, il DPO è un soggetto che deve avere competenze idonee per capire la rischiosità del trattamento, le misure di sicurezza che devono essere realizzate dal titolare, nonché il tipo di tutela integrata nel trattamento che il titolare vuole perseguire a beneficio dell’interessato. Egli dovrà pertanto possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali (quali la pseudonimizzazione e l’anonimizzazione) e adempiere alle sue funzioni in piena indipendenza, e persino con caratteristiche di “terzietà” rispetto al titolare pur essendone un dipendente, e in assenza di conflitti di interesse.
Saranno chiamate a designare un Responsabile della protezione dei dati molte amministrazioni ed enti pubblici e tutti i soggetti la cui attività principale richiede trattamenti sistematici dei dati degli interessati, o consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
[1] Che verranno analizzate durante il DIG.Eat 2017, evento annuale sulla digitalizzazione organizzato da Anorc, che si terrà a Roma il prossimo 23 marzo presso il Centro Congressi Fontana di Trevi (piazza della Pilotta, 4) e al quale ci si può iscrivere gratuitamente.