Il nuovo Regolamento UE 679/2016 (o GDPR – General Data Protection Regulation), ha riformulato a livello europeo la cornice normativa della privacy, ormai “sedimentata” da troppo tempo nel frammentato contesto dei singoli stati membri, ponendosi peraltro nell’ottica di un ammodernamento dei ruoli e delle responsabilità, nonché dei principi che permeano il trattamento dei dati personali.
Tra questi, spicca senza ombra di dubbio il principio dell’accountability (o della rendicontazione), fil rouge dell’interno Regolamento, di cui la figura del Responsabile per la Protezione dei Dati (o DPO – Data Protection Officer) rappresenta una fra le più importanti declinazioni materiali rinvenibili al suo interno. Proprio per questo motivo, oltre ai casi indicati all’art. 37 del Regolamento in cui la sua designazione appare come obbligatoria, nelle recenti nuove FAQ sul DPO, il Garante per la Protezione dei Dati ha sottolineato come la nomina di quest’ultimo sia in ogni caso «raccomandata», soprattutto se la valutazione circa la nomina avviene in costanza di trattamenti dei dati che comportino rischi per i diritti e le libertà delle persone fisiche.
L’indicazione del Garante appare, alla luce della prospettiva sopra delineata, senz’altro giusta. Per di più se consideriamo l’indubbio vantaggio, per Titolare e Responsabile, che la nomina della figura del DPO comporta all’interno della propria struttura. Questo infatti, si andrà a configurare – o almeno dovrebbe – come un elemento sinergicamente operante con l’insieme delle professionalità e dei settori di cui l’organizzazione si compone, così come si rinviene da un’attenta lettura dell’art. 39 del Regolamento.
Dall’altro lato, nei casi in cui la nomina del DPO non ricada nelle maglie dell’art. 37 della normativa europea e, come tale, rimanga quindi facoltativa, sarà quanto mai indispensabile ponderarne attentamente la “vera” necessità, dati i costi che la struttura sarà chiamata a sopportare per il suo mantenimento all’interno dell’Organizzazione e il ruolo di assoluta autonomia e indipendenza da assicurargli, così come richiesto dallo stesso Regolamento (Considerando 97). In ultimo, occorre tenere a mente come la sua presenza non riduca affatto le responsabilità del Titolare e del Responsabile del trattamento.
È evidente, dunque, come le pur giuste indicazioni del Garante vadano sempre inserite e ponderate all’interno del contesto in cui è immersa la propria realtà organizzativa, dei propri rischi e delle proprie capacità economiche.
Dott. Lorenzo Giannini (consulente Privacy e DPO)