Il 25 maggio entra ufficialmente in vigore il GDPR, ossia il Regolamento Ue 2016/679 sulla privacy. Il Regolamento conferma che ogni trattamento dei dati deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli attualmente previsti dal codice. Vale a dire: consenso, adempimento degli obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Una delle figure chiave previste dal GDPR è quella del Responsabile della protezione dei dati – Data Protection Officer (DPO), figura tenuta a informare e consigliare il titolare del trattamento, sorvegliare l’esatta osservanza del regolamento, fornire pareri riguardo alla valutazione di impatto per la privacy. Il nominativo del DPO nominato dalle aziende deve essere comunicato al Garante della Privacy.
Ma quali sono esattamente i casi in cui è prevista la nomina di questa figura?
Sono gli articoli 37, 38 e 39 del Regolamento a precisarli e a indicarne i compiti nel dettaglio. L’art. 37, in particolare, prevede che:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Un gruppo imprenditoriale, prosegue l’articolo 37, “può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”.
Sempre l’articolo 37 recita: “Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
Il responsabile della protezione dei dati, sottolinea il Regolamento europeo, “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Inoltre, “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.
Infine, “Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.
Si tratta, come si vede, di una figura di rilevante importanza. Per questa figura, così come per le disposizioni in generale del GDPR, in vista della scadenza del 25 maggio, tutte le aziende e gli studi professionali, se ancora non lo hanno fatto, dovranno avvalersi di professionisti nel campo della sicurezza e della privacy, oppure di studi legali al fine di adempiere correttamente alle previsioni del Regolamento Europeo.
Cliccando qui sotto è possibile scaricare il testo in pdf del Regolamento Ue 2016/679: