Il nuovo Regolamento Europeo 2016/679, in materia di protezione dei dati personali ed entrato in vigore il 24 maggio 2016, diventerà direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018.

Il suddetto Regolamento comporterà un cambiamento radicale nell’approccio alla privacy, introducendo nuovi obblighi e rendendo molto più onerosi gli adempimenti già previsti.

Tra le innovazioni apportate, vi è certamente la figura del Data Protecion Officer (Responsabile della Protezione dei Dati Personali) che diverrà obbligatoria per tutta la pubblica amministrazione e in alcuni casi anche in ambito privato.

Infatti, a mente dell’art. 37, il DPO è obbligatorio: a) se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria.

Ovviamente, data la complessità della materia, il DPO dovrà essere considerato come una figura intermedia tra un responsabile dei processi interni e un consulente legale in possesso dei seguenti requisiti: a) possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; b) adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; c) operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Più nello specifico, il DPO dovrà provvedere ad informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi; fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

In conclusione, si tratta quindi di una figura professionale nuova sul mercato di cui molti dovranno obbligatoriamente dotarsi, sebbene diversi grandi enti e società già da diversi anni lo abbiano fatto.

Tuttavia, tale normativa e necessità risulta ancora sconosciuta in ambito locale più ristretto e a bassa vocazione internazionale.