Una delle figure più discusse e controverse del nuovo Regolamento europeo è il c.d. “Privacy Officer”, ovvero il Responsabile della protezione dei dati: tale aspetto della normativa è stato a lungo tra i più dibattuti ed è in realtà (almeno ad oggi) destinato a rimanere tale in quanto la disciplina dettata dal legislatore comunitario demanda a quello statale la definizione di alcune regole di nomina (più in particolare i requisiti professionali per poter accedere a questa “carica”).
Tuttavia ciò non ci impedisce di effettuare una prima, seppur parziale, analisi delle peculiarità di questa figura. In particolare, il Regolamento prevede innanzitutto i casi in cui tale soggetto deve essere nominato: il comma I lett. a) dell’art. 37 ci dice infatti che il titolare ed il responsabile hanno l’onere di nominare “sistematicamente” un responsabile della protezione dati ogniqualvolta il trattamento sia effettuato da un’Autorità pubblica o da un organismo pubblico (ad eccezione delle Autorità giurisdizionali, per le quali vigono numerose deroghe). Ulteriori casi di obbligo di nomina concernono: i trattamenti che “per loro natura, ambito di applicazione e/o finalità” richiedono un monitoraggio degli interessati su larga scala ed i trattamenti che vengono svolti utilizzando dati sensibili o giudiziari. Nel caso poi in cui vi siano più autorità pubbliche o private (magari facenti capo ad una medesima realtà territoriale o ad un’identica compagine societaria) sarà possibile nominare un unico responsabile, seppur tenendo conto delle dimensioni e della struttura organizzativa degli Enti coinvolti: ciò in quanto il responsabile dovrà svolgere il ruolo di “tramite” tra il titolare e gli interessati, e dunque dovrà essere facilmente contattabile da questi ultimi, ovvero dovrà fornire loro un effettivo riscontro in merito al trattamento. Al di là dei casi espressamente previsti dal Regolamento, sarà il legislatore nazionale a poter prevedere ulteriori ed eventuali ipotesi in cui nominare il responsabile, ovviamente in considerazione della natura delle attività e delle modalità di trattamento.
Il responsabile dovrà poi possedere specifiche qualifiche professionali che lo pongano in grado di assolvere i compiti ad esso demandati: il rapporto che lo lega al titolare potrà essere di dipendenza o un vero e proprio contratto di servizi. Egli dovrà infatti essere coinvolto in tutte le questioni inerenti alla protezione dei dati, dovrà essere dotato di autonomia professionale e decisionale, nonché di risorse economiche ed umane. Rilevante sarà altresì il profilo della formazione: l’art. 38, comma II sottolinea infatti che “il titolare e il responsabile sostengono il responsabile della protezione dei dati (…) fornendogli le risorse necessarie (…) per mantenere la propria conoscenza specialistica”, evidentemente riferendosi alla necessità di un aggiornamento professionale continuo e specifico.
Mentre la nomina del responsabile deve essere svolta per iscritto e contenere tutte le attività ed i compiti affidati allo stesso, egli non dovrà ricevere alcuna istruzione per l’esecuzione dei propri compiti: uno dei requisiti essenziali del P.O. è quindi proprio l’indipendenza. Ciò si riverbera altresì sulle conseguenze di eventuali segnalazioni: il responsabile “non è rimosso o penalizzato dal titolare o dal responsabile per quanto riguarda l’esecuzione dei propri compiti”. È evidente che il legislatore comunitario abbia qui voluto prevenire eventuali comportamenti illeciti ed ostruzionistici da parte del titolare, nel caso in cui gli vengano segnalate anomalie o irregolarità nel trattamento posto in essere.
Venendo poi ai compiti del responsabile, egli dovrà “almeno” (con ciò facendo salvi ulteriori mansioni demandate allo stesso, pur sempre nell’ambito del trattamento dei dati): innanzitutto informare e fornire consulenza al titolare ma anche al responsabile ed ai singoli incaricati; sorvegliare l’osservanza del regolamento e l’attribuzione di compiti e responsabilità nei confronti dei soggetti preposti al trattamento; fornire un parere sulla valutazione di impatto privacy.
Al di là delle norme del Regolamento, anche il Considerando 81 si occupa della figura in esame, evidenziando l’aspetto della nomina e quindi gli adempimenti formali che il titolare dovrà espletare per attribuirgli la relativa carica. E’ proprio il Considerando 81 a demandare agli Stati membri la definizione delle modalità (comunque scritte) con le quali si deve strutturare l’incarico: contratto individuale o clausole contrattuali standard, condivise a livello europeo.
Il Regolamento ed i Considerando che lo precedono tacciono invece sugli aspetti relazionali che legheranno il titolare al responsabile, e quindi sui requisiti professionali di nomina, sui meccanismi di segnalazione di trattamenti illeciti o irregolarità: tutti elementi che dovranno essere successivamente specificati dal legislatore nazionale, nonché coordinati con la disciplina comunitaria.