Lo scorso 13 dicembre il Gruppo dei Garanti europei, riuniti nell’Articolo 29 Working Party, ha pubblicato le Linee guida in materia di Data Protection Officer (di seguito DPO), diritto alla portabilità e sportello unico, tre capisaldi del nuovo Regolamento Ue 2016/679, che entrerà in vigore a partire dal maggio 2018.
Il primo dei temi esaminati dal Gruppo concerne uno degli aspetti più controversi e dibattuti della normativa all’indomani della sua emanazione: consapevole di tale rilievo, l’indicazione dei Garanti, sin dall’incipit, definisce l’argomento “the heart of this new legal framework for many organisations”. Nel merito si precisano i casi in cui la nomina del DPO è obbligatoria, le competenze che la figura designata deve possedere (e quindi i criteri, oggettivi e soggettivi, che devono condurre il Titolare nella scelta), nonché il ruolo che il soggetto sarà chiamato a rivestire nelle realtà aziendali.
Quanto alla prima precisazione, il DPO dovrà essere nominato in tutte le realtà pubbliche ed in quelle, anche private, nelle quali l’oggetto delle attività dell’ente sia essenzialmente legato al trattamento di dati personali o coinvolga particolari categorie di informazioni su larga scala. Anche qualora la nomina non sia obbligatoria, il Titolare potrà scegliere (ed anzi, il Gruppo incentiva questa pratica) di designare un DPO.
Il ruolo di quest’ultimo sarà quello di facilitare i rapporti tra i Titolari e le Autorità nazionali per la protezione dei dati, pur restando ferma la responsabilità dei primi nell’adempimento del complesso degli obblighi previsti dalla legge. Il DPO dovrà però fornire, attraverso le proprie competenze ed esperienze professionali, un supporto ed un indirizzo alle attività dell’ente e dovrà essere dotato di un’autonomia gestionale e decisionale non soltanto formale ma anche sostanziale: la sua figura sarà quindi quella di supportare “the key operations necessary to achieve the controller’s or processor’s goals”.
In merito alle competenze del DPO, invece, egli dovrà possedere specifiche abilità professionali, dimostrare esperienza in materia e capacità di dialogo e interrelazione con il Titolare e altresì con l’Autorità nazionale di riferimento.
Le mansioni e le responsabilità del DPO dovranno poi essere cristallizzate in un contratto, che avrà il compito di specificare le attività demandate al soggetto ed il suo ruolo nell’organigramma aziendale.
Non ultimi i requisiti di indipendenza, anche e soprattutto nei confronti del Titolare, a garanzia di imparzialità e correttezza del suo operato.