L’istituzione della nuova figura del Responsabile della protezione dei dati (DPO) è, come è ormai noto, la principale novità normativa del Regolamento europeo che mira al potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali, cioè tutti quei dati che rendono una persona identificata o almeno identificabile. Una persona risulta identificabile se, conoscendo quel dato, altre informazioni possono essere ottenute senza sforzi irragionevoli, consentendone l’identificazione.
Il DPO, obbligatorio se il trattamento è svolto da un’azienda che ha come core business la gestione di dati personali, se l’azienda che supera i 250 dipendenti o se il trattamento è svolto da un organismo pubblico, deve essere autonomo, indipendente, esterno e deve esser dotato di indipendenza economica e finanziaria. È incaricato dei seguenti compiti:
Con l’introduzione di questa nuova figura professionale si è quindi aggiunta un ulteriore e decisivo tassello sulla protezione e il rispetto dei dati personali che, oltre all’essere ormai una vera e propria merce, spesso sono trattati in modo improprio e illegittimo (vedi il caso Facebook/Cambridge Analytica). È comunque importante precisare che tale figura non riduce la responsabilità del titolare del trattamento dei dati personali raccolti, che rimane in egual modo responsabile del rispetto dei principi stabiliti dall’art. 5 del RGPD: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
Scritto da Giuseppe Lupinacci