Chi si occupa di privacy fin dall’entrata in vigore della prima normativa, sa che il principale problema per tutti i soggetti economici che si sono adeguati alle prescrizioni obbligatorie in questi anni è sempre stato quello di dare continuità a quanto fatto. In moltissimi casi le aziende si sono armate di buona volontà, facendosi supportare magari da professionisti di qualità e poi però hanno seppellito tutto quanto fatto in un cassetto, fino a che una nuova esigenza specifica non si fosse ripresentata.
Purtroppo però questa modalità operativa risulta essere molto pericolosa, oltre che antieconomica. La gestione degli adempimenti deve essere infatti vista come un corpo vivo e in perenne evoluzione, in relazione a novità normative e organizzative interne sopravvenute.
Se si lascia morire la compliance privacy dentro a un cassetto sarà come non avere mai investito quelle risorse economiche, esponendo l’azienda anche ad un rischio di pesanti sanzioni. Quindi decisamente il danno accompagnato dalla proverbiale beffa.
Questo generalmente accade perché la materia del trattamento dati personali non è considerata “core business” e quindi tutti i dipartimenti aziendali sono costantemente impegnati in altre direzioni e in aggiunta, spesso vedono la gestione della privacy come un’inutile complicazione delle proprie attività quotidiane e tendono, anche comprensibilmente, a nascondere la polvere sotto al tappeto.
Un decisivo aiuto in questa direzione è arrivato dall’introduzione nel nostro ordinamento della figura del Responsabile della Protezione dei dati personali (RPD) o Data Protection Officer (DPO) regolato dall’ art. 37 e seguenti del Regolamento Europeo n. 679/2016 General Data Protection Regulation – GDPR. Per la norma citata il titolare del trattamento e il responsabile sono tenuti a nominare questa figura in una serie di casi determinati, individuati sulla base di condizioni soggettive, quali l’essere un ente pubblico, esercitare attività che per loro natura e ambito di applicazione o finalità richiedano il monitoraggio regolare e sistematico degli interessati su larga scala ovvero comportino il trattamento su larga scala di categorie particolari di dati di cui all’art. 9 o di dati relativi a condanne penali o reati di cui all’art. 10.
Sulle categorie per cui la nomina del DPO risulta obbligatoria ormai sussistono pochi dubbi: certamente lo sono tutta la Pubblica Amministrazione e il settore sanitario, bancario, assicurativo, la GDO, i gestori di servizi telefonici e Internet e qualsiasi altro soggetto che tratti dati personali, a maggior ragione se particolari, in quantità rilevante. Tutti gli altri soggetti che non sono tenuti alla nomina obbligatoria possono procedere comunque alla nomina del DPO su base volontaria, essendo stata esplicitamente individuata come misura idonea a garantire il corretto trattamento dei dati personali degli interessati.
Il ruolo di DPO può essere ricoperto da un soggetto interno all’azienda o da un soggetto esterno indifferentemente, l’importante che sia individuato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e delle capacità di assolvere ai compiti indicati all’art. 39.
Pertanto non possono certamente essere considerate efficaci delle nomine meramente formali in capo a soggetti interni che non abbiano competenze ed esperienza specifica in ambito privacy, spesso quasi perfezionate “ad insaputa” del lavoratore con il solo fine di poter dire di avere adempiuto all’obbligo.
I compiti di questa figura sono indicati esplicitamente all’interno dell’art. 39 e possono essere così sintetizzati: informare e fornire consulenza al titolare e al responsabile, ma anche al personale dipendente della società o dell’ente, in merito agli obblighi stabiliti dal Regolamento.
Questo significa avere a disposizione in modo continuativo un professionista esperto in materia di privacy che possa supportare tutte le funzioni aziendali, fornendo indicazioni operative prima che ciascuna decisione venga presa, in ossequio al principio fondamentale della privacy by design.
Fonte: Federprivacy