Una delle maggiori novità del Regolamento privacy è rappresentata dall’introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.
Il responsabile della protezione dei dati sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco nel 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del DPO alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.
Un’ulteriore corrispondenza si rinviene nell’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, nonché nel divieto di penalizzare il DPO per il suo ruolo, atteso il divieto, in capo al titolare del trattamento, di rimuoverlo o penalizzarlo “per l’adempimento dei propri compiti”. Il Regolamento segue la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti.
A ben vedere, di là dalle singole disposizioni, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale le società si fanno carico dell’adeguamento e del controllo capillare sulla gestione dei dati personali. Un complesso uniforme di regole che si rimette alla self-governance delle imprese le quali, incentivate da un quadro sanzionatorio molto rigoroso, hanno interesse a rispettare la disciplina applicabile. La nomina di un DPO è obbligatoria in tre casi:
a) per le amministrazioni e gli organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili, di dati genetici, di dati giudiziari e di dati biometrici. L’obbligo è imposto, quindi, solo sulle grandi società o, sulle società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy. L’art. 37 ammette poi che un gruppo imprenditoriale o più enti pubblici possano nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento. In caso di nomina del DPO è necessario che i suoi dati di contatto siano resi pubblici e comunicati al Garante nazionale. La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.
