Privacy, cosa cambia con il nuovo Regolamento UE: il DPO

Cos’è il responsabile della protezione dei dati e quando deve essere designato

Redazione 16/02/18
Scarica PDF Stampa
Dal prossimo 25 maggio diventerà pienamente efficace in tutti gli Stati dell’Unione Europea il nuovo Regolamento europeo sulla privacy. Dopo un lungo iter legislativo, il 14 aprile 2016 il Parlamento Europeo, al fine di definire e garantire, in materia di protezione dei dati personali, un sistema armonizzato ed un quadro normativo comune per tutti gli Stati membri dell’Unione, ha definitivamente approvato il c.d. “pacchetto protezione dati”.

Il “pacchetto” è composto da due diversi strumenti:

  • – il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;
  • – la “Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera
    circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

Tra gli elementi innovativi contenuti nel Regolamento c’è anche la figura del “Responsabile della Protezione dei Dati”, meglio conosciuto come “DPO” (acronimo di “Data Protection Officer”). Soggetto nuovo da non confondere con il “titolare del trattamento” o con il “responsabile del trattamento”. Il DPO non è, però, una figura completamente nuova per l’Unione Europea.

In fondo si può considerare un’evoluzione della figura del “privacy officer” (“incaricato della protezione dati”), prevista all’art. 18 della direttiva 95/46/ Ce (che consente agli Stati membri di prevedere semplificazioni o esoneri nel caso di nomina di un soggetto indipendente al quale demandare, in particolare, l’applicazione delle leggi nazionali di attuazione della direttiva stessa).

Per essere precisi, va detto che anche per l’Italia il DPO non è una figura completamente nuova! Infatti, nelle “Linee Guida in materia di Dossier Sanitario” del 4 giugno 2015 il Garante della Privacy auspica testualmente che, in ragione della delicatezza delle informazioni trattate, “i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer)” anche in relazione ai casi di “Data Breach”.

La nuova privacy : adempimenti, sanzioni e opportunità di business dopo il GDPR
Videoconferenza in Diretta GRATUITA – 23 marzo – 15.00-16.00
ISCRIVITI SUBITO

Quando deve essere designato il DPO?

Il Titolare del trattamento e il Responsabile del trattamento sono obbligati a designare un “Responsabile della protezione dei dati” in tre casi specifici, elencati nel paragrafo 1 dell’art. 37, e cioè:

  • a) se il trattamento è effettuato da un’“autorità pubblica” o da un “organismo pubblico”, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
  • b) se le “attività principali” del Titolare o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure
  • c) se le “attività principali” del Titolare o del Responsabile del trattamento consistono nel trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati
    personali relativi a condanne penali e reati (c.d. dati giudiziari).

L’articolo è tratto da

Redazione

Scrivi un commento

Accedi per poter inserire un commento