Lo scorso 26 marzo il Garante Privacy ha diramato le nuove “FAQ sul Responsabile della Protezione dei Dati in ambito privato”, fornendo ulteriori delucidazioni rispetto a quanto già illustrato sul punto dal “Working Group party” comunitario.
Il Garante, anzitutto, ha messo in luce le principali aree di attività cui sarà destinato il Data Protection Officer (“DPO”) – per la cui nomina non è richiesta alcuna attestazione specifica o l’iscrizione in appositi albi, ma solo l’approfondita conoscenza della materia – evidenziando come quest’ultimo dovrà assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione della normativa comunitaria.
All’interno delle FAQ figurano, inoltre, una serie di previsioni in merito agli alternativi caratteri di obbligatorietà o facoltatività che guidano la nomina del DPO in ambito privato. Saranno obbligatoriamente chiamati alla nomina i soggetti che espletano un monitoraggio sistematico degli interessati o che trattano particolari categorie di dati; a tal fine il Garante riporta – a titolo esemplificativo e non esaustivo – le seguenti attività per cui la designazione di un DPO sarà da ritenersi obbligatoria: istituti di credito; società che forniscono servizi informatici; imprese assicurative; partiti e movimenti politici; sindacati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); società operanti in ambito sanitario quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; ecc..
La medesima nomina non risulterà, invece, obbligatoria (restando pur sempre raccomandata in virtù del principio di accountabilityche permea la nuova disciplina) in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari.
Per quanto attiene alle modalità operative poste alla base della descritta designazione, le FAQ precisano che, nel caso in cui il DPO fosse scelto all’interno del gruppo aziendale, questi andrà nominato mediante specifico atto di designazione, mentre, qualora fosse scelto all’esterno, dovrà operare in base ad un contratto di servizi. Entrambi tali atti dovranno essere necessariamente redatti in forma scritta e al loro interno saranno indicati espressamente i compiti attributi al DPO, le risorse che gli saranno assegnate per il relativo svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
In conclusione, si precisa come non sussista un profilo di aprioristica incompatibilità tra il ruolo di Responsabile della Protezione dei Dati e altri incarichi aziendali purché sia garantita l’assenza di eventuali conflitto di interessi; a tal fine parrebbe in ogni caso preferibile evitare di assegnare il ruolo in questione a soggetti che già ricoprono incarichi di alta direzione (es: amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero detengono un potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc.).