Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione di una nuova figura: il Data Protection Officer (DPO) o (come tradotto nel testo in italiano) il Responsabile della Protezione dei Dati (RPD).
La disciplina della figura del DPO è prevista agli art. 37 e 38 del Regolamento; il Gruppo di lavoro articolo 29 ha poi emanato Linee Guida per l’applicazione della nuova disciplina del DPO già nel dicembre 2016, poi emendate il 5 aprile 2017.
L’attività di nomina della figura del Data Protection Officer o Responsabile della Protezione dei dati personali viene garantita individuando una figura con comprovate capacità ed esperienze certificate nel tema della sicurezza nel trattamento dei dati personali. Se la figura è interna non dovrà però avere conflitti di interesse.
La nomina verrà perfezionata tramite un atto scritto ad personam che prevederà un contratto almeno biennale con tacito rinnovo da pubblicizzare all’interno del proprio organigramma e da comunicare all’Autorità per dare evidenza del rispetto dell’adempimento.
Questa nuova figura, già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale con competenze informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
L’assenza di designazione del DPO secondo quanto previsto dall’art. 37 del Nuovo Regolamento Europeo prevede sanzioni fino a 10.000.000 di Euro, o per le imprese, fino al 2% del volume del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.