Privacy Officer: designazione obbligatoria e volontaria

Come noto, il 13 Dicembre 2016 sono state pubblicate le “Linee Guida relativamente al Data Protection Officers (DPO’s)”. Questo documento, al momento disponibile esclusivamente in inglese, contiene molte precisazioni utili che aiutano l’interprete nello stabilire la reale portata dell’articolo 37 del Regolamento 679/2016 e nel definire i contorni del Responsabile per la Protezione dei Dati Personali.

Designazione obbligatoria e facoltativa

L’articolo 37 del Regolamente stabilisce che il DPO deve obbligatoriamente essere nominato in tre ipotesi specifiche:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  2. le attività principali del Titolare consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali del Titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
A meno che non sia di palmare evidenza che un’organizzazione non rientri nell’ambito di applicazione dell’articolo 37, il WP29 raccomanda che il Titolare documenti l’analisi interna che è stata effettuata per determinare o meno la necessità di procedere con la nomina del DPO: è, questa, una concreta applicazione del principio di responsabilizzazione (c.d. accountability) introdotto dal legislatore europeo.

Ma se un Titolare decide di nominare su base volontaria un Privacy Officer? In questo caso si deve prestare attenzione, perchè si dovranno rispettare per la sua nomina, i suoi compiti e il suo ruolo gli stessi requisiti previsti dagli articoli dal 37 e seguenti.

Questo non impedisce a un’organizzazione, che non desideri designare un DPO su base volontaria e non sia obbligata a farlo, di nominare qualcuno con compiti simili a quelli tipici del DPO: è, però, importante evitare di attribuirne il titolo ad un soggetto che, in concreto, non ha i poteri, i compiti e le competenze di un vero Privacy Officer.

Quindi attenzione: la nomina di un Responsabile per la Protezione dei Dati Personali è comunque consigliata anche al di fuori dei casi in cui è obbligatoria, ma richiede comunque il rispetto di tutte le disposizioni degli articoli 37, 38 e 39 del Regolamento Privacy UE. Non è, quindi, compatibile con la normativa un’ipotetica “versione light” di questa nuova figura.

Nel prossimo articolo ci occuperemo di chiarire i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento