Il Data Protection Officer (DPO) o Responsabile della Protezione del Dati (RPD) è una figura prevista e descritta negli artt. 37-38-e 39 del Regolamento Europeo UE 2016/679, obbligatoria per Enti pubbici e per aziende che trattano dati su larga scala, in particolare se sono dati sensibili.

Nei giorni immediatamente precedenti al 25 maggio anche i quotidiani ne hanno dato notizia e il 24 maggio il Garante privacy italiano ha incontrato, a Bologna, i Responsabili della Protezione Dati (RPD) (nominati o in pectore) di tutta Italia.

La giornata formativa è stata dedicata al nuovo Regolamento UE 2016/679 con particolare riferimento al ruolo e ai compiti della nuova figura del Responsabile della Protezione dei Dati.

Ecco i programma della giornata e l’infografica dedicata a questa figurapresisposte  dal Garante;  è disponibile il programma e anche lo streaming completo dell’evento, oltre che .

Il Regolamento prevede che tutte le Pubbliche Amministrazioni individuino un RPR a garanzia della tenuta e utilizzo corretto dei dati personali dei cittadini. similmente a quanto è avvenuto per il Responsabile della Trasparenza e Anticorruzione, istituito e operativo già da alcuni anni.

Esaminiamo, in sintesi, il ruolo e le principali attività del Responsabile della Protezione dei Dati:

Alcuni ambiti in cui il RPD può iniziare da subito ad espletare le proprie funzioni di informazioni, consulenza, sorveglianza riguardano principalmente:

-l'aggiornamento delle informative agli interessati,

- la stesura degli atti di designazione dei Responsabili esterni del trattamento delle deleghe al trattamento (atti che andranno adottati, secondo i vari ordinamenti, dal Titolare del trattamento, ossia, dal legale rappresentante);

- la redazione del Registro dei trattamenti (documento che raccoglie i contenuti essenziali di ogni trattamento di dati personali, organizzato in modo da essere facilmente aggiornabile e consultabile sia all’interno dell’organizzazione, sia nel caso di ispezioni da parte delle Autorità di controllo –così si definisce ora l’Autorità Garante);

A questo riguardo dopo l’approvazione del Regolamento Europeo (27 aprile 2016) il Gruppo art. 29 (un pool di esperti indipendenti, istituito in virtù dell’articolo 29 della direttiva 95/46/CE che è organo consultivo dell’UE per la protezione dei dati personali) ha stilato e aggiornato le linee guida, valide per tutti i Paesi dell’Unione (vai al documento );

Per il Garante italiano l’incontro di Bologna è stato anche il momento per porsi come un sostegno ai neonati Responsabili della Protezione dei dati, proponendosi come un punto di contatto fra i soggetti interessati che possono rivolgersi all’Autorità centrale per tutte le questioni relative ai trattamenti dei loro dati personali e all'esercizio dei loro diritti e gli stessi RPD, punto di riferimento nell’ Ente o Azienda. A lui si rivolge l’Autorità per avere chiarimenti su specifici adempimenti in capo al Titolare/Responsabile o in caso di istanze che gli vengono presentate, e al momento dei controlli. (che sono espletati dal nucleo “privacy” della Guardia di Finanza);

Al Responsabile della Protezione dei Dati spetta di fornire consulenza e collaborazione al Titolare e ai suoi delegati, ai loro dipendenti che eseguono il trattamento; al responsabile esterno; di sorvegliare l'osservanza del Regolamento e delle altre disposizioni rilevanti, nonchè delle politiche del Titolare in materia di protezione dei dati personali, di rispondere alle istanze degli utenti interessati.

Il RPD ha anche un ruolo specifico in caso di Data breach: deve informare il Titolare, e cooperare con lui nel valutare la violazione; funge da punto di contatto con l'Autorità al fine di fornire maggiori informazioni, collabora con il Titolare per valutare l'esigenza di informare gli interessati e, in caso di decisione positiva, per informarli, funge da punto di contatto con gli interessati al fine di fornire loro maggiori informazioni.

Un compito particolare e delicato del RPD è la valutazione d'impatto (VIP) che dovrà essere effettuata per gli ambiti sensibili (dati biometrici, profilazione, trattamenti su larga scala di dati di persone vulnerabili) ancor prima di iniziare il trattamento, in modo da individuare le modalità operative che meglio garantiscono la protezione e sicurezza dei dati personali: Ricordiamo a questo riguardo che il Regolamento pone alcuni obblighi in tema di minimizzazione dei dati personali, pseudonimizzazione, limitazioni dei tempi di conservazione.

La normativa integrativa a livello nazionale, che si attende sia p approvata a breve, indicherà le modalità operative più specifiche per questi e altri trattamenti di dati personali, fra cui sicuramente quelli dell’ambito sanitario sono i più complessi, delicati e su larga scala.

Riguardo a trattamenti del genere l’art 36 par. 1 del Regolamento Europeo prevede che vi sia un confronto preventivo con l’Autorità di Controllo e stabilire questo dialogo preventivo è uno dei compiti affidati proprio al RPD il quale potrebbe anche formalizzare un proprio parere contrario rispetto a modalità di trattamento che il Titolare individua per determinate situazioni.

L’indipendenza, la competenza, la limitazione della responsabilità personale riguardo ai trattamenti di dati che vengono messi in atto dal titolare (il quale, ricordiamo, è la figura centrale, che risponde della legittimità dei trattamenti messi in atto nella sua organizzazione) sono i cardini su cui si fonda l’attività dei Responsabili della protezione dei dati: competenze giuridiche e informatiche che insieme dovranno concorrere per individuare le e favorire le modalità di trattamento dei dati migliori per sfruttarne appieno l’utilità al servizio della persona. Come indica il Considerando 2 del Regolamento Europeo, per contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, di progresso economico e sociale, di rafforzamento della convergenza delle economie nel mercato interno e di benessere delle persone fisiche. E’ questo l’obiettivo a cui tutti devono tendere.

Nel canale youtube il Garante ha messo a disposizione la registrazione video di tutti gli interventi dei relatori (vai al video).

DPO-infografica Garante Privacy