Privacy, presto in tutte le Pa il responsabile della tutela dei dati personali

Tutte le pubbliche amministrazioni saranno obbligate a designare un responsabile della protezione dei dati personali: il Garante privacy ha pubblicato una scheda di presentazione del «Data protection officer» (Dpo) anche se la normativa è «ancora in fase di definizione».
Il ritratto del responsabile è stato tracciato seguendo la proposta di Regolamento COM (2012)11 che insieme alla “Proposta di Direttiva sulla protezione dei dati personali nelle attività di contrasto” rientra nel nuovo pacchetto di protezione dati presentato nel 2012 dalla Commissione europea per «garantire un quadro coerente e un sistema complessivamente armonizzato in materia nell'Ue». L'approvazione definitiva di questi strumenti, attraverso una “codecisione” di Parlamento e Consiglio Ue, dovrebbe concludersi nei primi mesi del 2016.

Il profilo
Adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui si opera, piena indipendenza e assenza di conflitti d'interesse nello svolgimento del compito di controllo e vigilanza: queste le caratteristiche del Dpo che dovrà essere nominato dal titolare o dal responsabile del trattamento e operare alle sue dipendenze oppure sulla base di un contratto di servizio.
L'incarico di durata di almeno 2 anni potrà essere rinnovato. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Data protection officer le risorse umane e finanziarie necessarie all'adempimento dei suoi compiti.

Gli obblighi
Saranno obbligati a designare il responsabile della protezione dei dati personali amministrazioni ed enti pubblici, le imprese con 250 o più dipendenti e tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati. Un titolare o un responsabile del trattamento possono comunque designare un Dpo anche se non rientrano in questi casi.

I compiti
La scheda riporta poi le otto funzioni che il Dpo dovrà svolgere:
• informare e consigliare il titolare o responsabile del trattamento sugli obblighi derivanti dal regolamento Ue e conservare la documentazione di questa attività e le risposte ricevute;
• vigilare su attuazione e applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi attribuzione delle responsabilità, formazione del personale che partecipa ai trattamenti e audit connessi;
• verificare: l'attuazione e l'applicazione del Regolamento Ue, con particolare riguardo ai requisiti della protezione della privacy fin dalla sua progettazione (privacy by design); la protezione di default di dati e sistemi (privacy by default); la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
• garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
• controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
• controllare che titolare o responsabile del trattamento effettui la valutazione d'impatto sulla protezione dei dati e richieda l'autorizzazione o la consultazione preventiva nei casi previsti;
• essere un punto di contatto per il Garante privacy oppure consultarlo di propria iniziativa;
• controllare che le richieste del Garante siano osservate e cooperare di propria iniziativa o su richiesta dell'Autorità.