Il Regolamento Europeo sulla privacy pubblicato lo scorso 4 maggio, che entrerà in vigore il 18 maggio del 2018, ha ufficialmente introdotto il ruolo di Data Protection Officer (in seguito anche ''DPO'') come parte delle regole per la protezione dei dati personali.

Il responsabile della protezione dei dati è una figura che supervisiona e valuta le attività di protezione dei dati all'interno di una società, assicurando che le stesse siano svolte in conformità con le norme, UE e nazionali, in materia di privacy.

Il responsabile della protezione dei dati, secondo le norme in oggetto, è uno dei requisiti fondamentali per tutte le società che operano all'interno dell'Unione Europea, e che svolgono un’attività che comporta la raccolta di dati personali.

Ai sensi dell'art. 35 del Regolamento, il DPO è nominato quando, alternativamente: il trattamento è effettuato da un'autorità pubblica (ad eccezione degli Uffici giudiziari nell’esercizio dell’attività giudiziale); le attività principali della società consistono in operazioni di trattamento che, per loro natura, portata o finalità, monitorano su base regolare e sistematica i dati delle persone interessate su larga scala; le attività principali della società consistono nel trattamento su larga scala di categorie particolari di dati, relativi alle condanne penali e reati.

Inoltre, il DPO è designato sulla base delle qualità professionali e della conoscenza approfondita del diritto e della prassi in materia di protezione dei dati. Inoltre, il DPO dovrà essere in grado di condividere in modo efficace la propria conoscenza e di assolvere i compiti stabiliti dell’art. 37 del regolamento.

La società può designare uno dei propri dipendenti come DPO, a patto che i suoi doveri professionali ed i nuovi compiti assegnati non provochino un conflitto di interessi.

La società deve coinvolgere il DPO tempestivamente in tutte le questioni relative alla protezione dei dati personali e fornirgli le risorse necessarie per svolgere i compiti precisati dall’art. 37, incluso il pieno accesso ai dati personali ed alle operazioni di trattamento.

I compiti del DPO, ai sensi dell’art. 37 del regolamento in parola, sono: informare e consigliare la società e gli impiegati che stanno trattando i dati personali dei loro obblighi ai sensi del regolamento e di altre disposizioni dell'Unione Europea o degli Stati membri; monitorare il rispetto del presente regolamento, delle altre disposizioni dell'Unione o degli Stati membri, e della privacy policy della società, incluse l'assegnazione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e le relative verifiche; fornire consulenza ove richiesto per quanto riguarda la valutazione d'impatto sulla protezione dei dati e monitorarne gli sviluppi; cooperare con l'autorità di vigilanza; essere il referente per le relazioni con l'autorità di vigilanza su questioni relative al trattamento dei dati personali, tra cui la consultazione su singole questioni, ove necessario.

Il DPO riferisce al livello più alto di gestione della società o ente, ma deve operare come una funzione indipendente; ciò significa che non può ricevere istruzioni su come esercitare i propri compiti, e non può essere licenziato o penalizzato in relazione ad essi. Durante l'esecuzione di queste attività, oltre ad essere soggetto alla segretezza o riservatezza delle operazioni, deve valutare i rischi annessi al trattamento, tenuto conto della natura, della portata, del contesto e delle finalità del trattamento.

Il DPO dovrà restare in carica per almeno due anni, e può essere licenziato solo in caso sia impossibilitato a svolgere i propri compiti.

L'azienda può assumere un medesimo DPO per un gruppo di imprese, ammesso che sia facilmente raggiungibile da ogni sede.

Concludendo, il ruolo del DPO è essenziale perché, oltre a monitorare e notificare ogni violazione della protezione dei dati, deve garantire l’osservanza delle norme per tutte le società e autorità pubbliche.