Adempimenti privacy 2018: obbligo di nomina del “Responsabile della Protezione dei Dati” (DPO)

Il nuovo Regolamento (UE) 2016/679 all’articolo 30 statuisce l’obbligo per aziende e professionisti di procedere entro e non oltre alla nomina del Responsabile della Protezione Dati (detto anche DPO – Data Protection Officer) oltre alla istituzione, tenuta e conservazione del “Registro del trattamento”.

I compiti che deve assolvere il “Responsabile della Protezione dei Dati” (DPO) sono contemplati dall’articolo 39 del Regolamento UE 2016/679 ed è una figura di particolare importanza. Infatti la normativa prevede che il ruolo deve essere ricoperto solo da persone che abbiano un’adeguata conoscenza della normativa e della prassi sulla protezione dei dati.

La scelta e l’affidamento di questo incarico devono essere ufficializzati attraverso una comunicazione all’Autorità di Controllo e la pubblicazione dei dati relativi alla figura del Responsabile. Anche se sono richieste esperienze e competenze dettagliate, il Garante della Privacy ha specificato che per ricoprire il ruolo di DPO non sono richiesti attestati o iscrizioni ad albi professionali. Al momento, sembra essere sufficiente la conoscenza della normativa e dell’organizzazione aziendale.

In base al contenuto dell’articolo 37 del regolamento, la nomina è obbligatoria nei seguenti casi:

• Quando è una Pubblica Autorità ad eseguire il trattamento. Fanno eccezione le Autorità giurisdizionali nell’esercizio delle proprie funzioni;
• Quando le attività del Titolare o Responsabile del trattamento riguardano, per natura e finalità, il regolare e sistematico monitoraggio su larga scala degli interessati. (per approfondimento vedasi le Linee guida sui responsabili della protezione dei dati pag. 27, 28 e 29);
• Quando c’è il coinvolgimento di informazioni e dati personali appartenenti a categorie particolari (articolo 9 del regolamento) o relativi a condanne penali e reati previsti dall’articolo 10.

Il Garante della Privacy nelle FAQs, in particolare la n. 3, ha individuato i seguenti soggetti (elenco non esaustivo) obbligati alla nomina del DPO:

1. Istituti di credito;
2. Imprese assicurative;
3. Sistemi di informazione creditizia;
4. Società finanziarie;
5. Società di informazioni commerciali;
6. Società di revisione contabile;
7. Società di recupero crediti;
8. Istituti di vigilanza;
9. Partiti e movimenti politici;
10. Sindacati;
11. CAF e patronati;
12. Società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
13. Imprese di somministrazione di lavoro e ricerca del personale;
14. Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
15. Società di call center;
16. Società che forniscono servizi informatici;
17. Società che erogano servizi televisivi a pagamento.

Soggetti non obbligati alla nomina del DPO

Nelle FAQs pubblicate dal Garante sulla Privacy nella n. 4 sono indicati i soggetti non obbligati alla nomina del Responsabile della Protezione dei Dati, ricordando che è un elenco non esaustivo, che di seguito si riporta in relazione a trattamenti effettuati da:

• Liberi professionisti operanti in forma individuale;
• Agenti, rappresentanti e mediatori operanti non su larga scala;
• Imprese individuali o familiari;
• Piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti

Il “Gruppo Art. 29” precisa che “…la designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell’UE. Inoltre, anche ove la designazione di un RPD non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” (Gruppo di lavoro) incoraggia un approccio di questo genere. Qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria.”

Privacy 2018: le sanzioni

L’Unione Europea ha previsto, data l’importanza dei dati conservati, delle sanzioni molto severe a carico sia il Titolare o Responsabile del trattamento dei dati sia delle imprese. Il Titolare che non rispetta gli obblighi (come previsto dall’articolo 83 comma 4 del Regolamento) può essere multato per un importo fino a 20.000.000 di euro e per le imprese è prevista un’ammenda che può arrivare al 4% del fatturato mondiale annuo dell’anno precedente.

Il DPO deve essere scelto entro il 25 maggio 2018 e a decorrere da quella data, aziende, professionisti e pubbliche amministrazioni dovranno avere già applicato le prescrizioni del Regolamento europeo.