Il Garante Privacy ha predisposto una versione aggiornata della scheda informativa sulla figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) sviluppata tenendo conto dei requisiti indicati nel Regolamento Europeo Privacy concernente la "Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati".

L’art 37 del Regolamento Europeo Privacy, prevede la designazione obbligatoria di un Data Protection Officer (DPO) per le seguenti categorie di Titolari del Trattamento:

• Autorità Pubbliche o Organismi Pubblici (eccetto le Autorità Giudiziarie)
• Soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala
• Soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Ai sensi del Regolamento Europeo Privacy, il Responsabile Protezione Dati (RPD) deve essere scelto in funzione delle proprie qualità e competenze professionali tra soggetti che per esperienza, capacità e affidabilità soddisfino i seguenti requisiti:

• adeguata conoscenza della normativa privacy
• frequentazione di un corso di formazione privacy per DPO
• esperienza nella progettazione, implementazione e mantenimento di sistemi di gestione privacy
• indipendenza ed assenza di conflitti di interesse

Il DPO può operare in qualità di dipendente del titolare del trattamento o come fornitore esterno sulla base di uno specifico contratto di servizio.

L’art. 39 del Regolamento Europeo Privacy definisce i compiti che devono obbligatoriamente essere affidati al Responsabile della Protezione (RPD) dei Dati dal Titolare del Trattamento, tra cui i principali sono:

• informare e consigliare il titolare del trattamento, nonché i dipendenti e collaboratori, in merito agli obblighi derivanti dal Regolamento Europeo Privacy e dalle disposizioni privacy degli Stati Membri
• verificare l’attuazione e l’applicazione del Regolamento Europeo Privacy
• supportare il titolare del trattamento nella definizione delle politiche privacy aziendali
• progettare, implementare e mantenere un Sistema di Gestione Privacy Aziendale
• programmare piani di sensibilizzazione e di formazione privacy per tutto il personale dipendente ed i collaboratori del titolare del trattamento sul Regolamento Europeo Privacy e sulle disposizioni privacy degli Stati Membri
• supervisionare le operazioni di trattamento
• pianificare privacy audit periodici
• fornire pareri in materia di privacy
• fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti
• relazionarsi e interagire con il Garante Privacy.

Al fine di garantire il corretto adempimento dei compiti privacy affidati, il titolare del trattamento deve mettere a disposizione del Data Protection Officer (DPO) tutte le risorse umane, organizzative e finanziarie necessarie al rispetto delle disposizioni normative privacy previste dal Regolamento Europeo Privacy e dalle leggi privacy degli Stati Membri.

Dr. Eric Falzone - Privacy Advisor - Partner EUCS

Articoli Privacy EUCS - www.eucs.it