Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 (GDPR), pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio’16. Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Cosa deve fare il DPO?

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):
1. Il responsabile della protezione dei dati (DPO) è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.


Cosa è il diritto di accesso dell'interessato (cd. accesso privacy)?

Il Regolamento (UE) 2016/679 attribuisce al cittadino importanti diritti in materia di protezione dei dati personali. Tali diritti, che consistono essenzialmente in:
• accesso ai propri dati personali
• rettifica, cancellazione, limitazione del trattamento, portabilità dei dati personali
• opposizione al trattamento
possono essere esercitati semplicemente compilando ed inoltrando al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, persona fisica, ecc.) il modulo presente in questa scheda. Ma vediamo più da vicino in cosa consistono tali diritti.
Accesso ai dati personali
Ogni cittadino ha il diritto di conoscere se taluni suoi dati personali sono oggetto di trattamento ad opera di un terzo. Se glie ne viene data conferma, egli può chiedere una copia di tali dati ed essere informato su:
• l'origine dei dati;
• le categorie di dati personali trattate;
• i destinatari dei dati;
• le finalità del trattamento;
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione;
• il periodo di conservazione dei dati;
• i diritti previsti dal Regolamento.
Rettifica, cancellazione e portabilità dei dati
Il cittadino può chiedere altresì che i dati personali che lo riguardano siano rettificati (perché inesatti o non aggiornati) o cancellati (ad es. se non sono più necessari o se sono trattati illecitamente) o che venga limitato il loro trattamento.
Può inoltre esercitare il diritto alla portabilità. Si tratta di un diritto introdotto dall’articolo 20 del Regolamento (Ue) 2016/679 che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento (es. un diverso fornitore di servizi).
L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti sopra citati.
Opposizione al trattamento dei dati
La persona interessata può opporsi al trattamento dei propri dati personali per motivi connessi alla propria situazione particolare, da specificare nella richiesta.
Le motivazioni non vanno specificate se i dati sono trattati per finalità di marketing diretto.


Richiesta accesso ai dati personali: a chi presentarla?

L'istanza va presentata al titolare del trattamento. A tal proposito ricordiamo che il titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento. Il Responsabile, invece, è la persona fisica o giuridica alla quale il titolare attribuisce specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati.
La richiesta di accesso ai dati personali non richiede l'adozione di particolari formalità, per cui può essere spedita indifferentemente tramite lettera raccomandata, fax, posta elettronica o PEC.
L'istanza può riferirsi, a seconda delle esigenze dell'interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
Il titolare del trattamento deve fornire una risposta alla richiesta entro 1 mese dal suo ricevimento.
Se la richiesta risulta particolarmente articolata, il titolare del trattamento può chiedere un proroga. Tuttavia quest'ultima non può superare i 2 mesi.
Se la risposta non perviene nei tempi indicati o se la persona interessata giudica la risposta non soddisfacente, è possibile rivolgersi
• all'Autorità per la protezione dei dati personali, mediante un reclamo Garante Privacy ai sensi dell'art. 77 del Regolamento, oppure
• all'Autorità giudiziaria.
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un'autorità di controllo;
g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

2. Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento.

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.