Privacy come valore aziendale: il GDPR e il ruolo del DPO

Il 25 maggio 2018 ha trovato diretta applicazione in tutti i Paesi dell'Unione Europea il nuovo Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) il quale delinea una impostazione più innovativa della gestione della privacy, ispirata ai principi di trasparenza e responsabilità.

La normativa europea si pone l’obiettivo di ridefinire l’approccio delle aziende in tema di protezione dati qualificando la tutela dei dati personali come uno dei principali valori aziendali.

In tal senso, investire in opportune strategie di protezione dei dati personali diventa scelta obbligata oltreché vincente, pena l’erogazione da parte del Garante della Privacy di sanzioni amministrative pecuniarie fino a 10 milioni di euro, espressamente previste dagli artt. 83 e 84 del Reg. UE 2016/679.  

In taluni casi, peraltro, le aziende private sono obbligate a designare la figura del Data Protection Officer (DPO), anche detto Responsabile per la Protezione dei Dati personali (RPD).

Il DPO è una figura di alto livello professionale che deve essere coinvolta in tutte le questioni inerenti la protezione dei dati personali. Il DPO deve godere di ampia autonomia ed è designato in funzione delle proprie qualità professionali, soprattutto in relazione alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e della capacità di adempiere ai propri compiti. Deve, inoltre, possedere qualità manageriali, oltre che una buona conoscenza delle nuove tecnologie.

I compiti del DPO sono definiti dall’ art. 39 del Reg. UE 2016/679 e sono di carattere consultivo in materia di privacy nei confronti del titolare e del responsabile del trattamento, di vigilanza sull’osservanza del Regolamento e di raccordo con l’Autorità Garante per la Privacy.

La nomina del DPO spetta al Titolare del trattamento dei dati (e quindi all’azienda, in persona del rappresentate legale pro-tempore,) il quale - nel rispetto dell’art. 4 del citato regolamento - è tenuto a determinare le finalità, le garanzie e le misure tecnico-organizzative (privacy by design) del trattamento dei dati.

Costituisce buona pratica formalizzare una privacy policy aziendale che descriva la struttura organizzativa adottata in ambito data protection, con indicazione puntuale di ruoli e responsabilità nonché i presidi organizzativi e procedurali messi in campo per adempiere ai principi generali dettati dalla normativa vigente.

La nomina di DPO e/o altri responsabili, infatti, non costituisce un mero adempimento formale tale da manlevare da qualsiasi forma di responsabilità, ma rappresenta tassello fondamentale per la complessiva valutazione di impatto dei trattamenti.