Con l’arrivo dell’estate 2015 ha avuto inizio il Trilogo fra Commissione Europea, Parlamento UE e Consiglio UE per arrivare al più presto (si spera entro dicembre 2015) all’approvazione del nuovo Regolamento Privacy UE, all’interno del quale è prevista l’introduzione della nuova figura Privacy del Data Protection Officer (DPO).

Infatti anche in due documenti ufficiali dell’Autorità Garante Italiana viene già citata la figura del DPO, smentendo quindi chi negli ultimi mesi era scettico su questa figura già presente in 15 Stati UE.

Il primo documento in questione è la Relazione Annuale 2014 dell’Autorità Garante Privacy, presentata il 23 giugno 2015 alla Camera dei deputati, che a pagina 130 riporta testualmente:

[…] nella proposta di regolamentazione europea in corso di approvazione si supererà la logica della notificazione a vantaggio di nuovi strumenti più effettivi, primo fra tutti l’introduzione della nuova figura del Data Protection Officer (definito nella traduzione italiana, in maniera un po’ infelice, “Responsabile della protezione dei dati”) – i cui compiti sono ancora in definizione -, “presidio avanzato” presso il titolare del trattamento del rispetto dei principi e degli adempimenti in materia nonché interlocutore ed elemento di connessione tra il titolare del trattamento e l’Autorità.

Il secondo documento è rappresentato dall’allegato A delle linee guida sul dossier sanitario elettronico (doc. web 4084632) che al punto 7.2 prevede che chi tratta dati sanitari e costituisce dossier sanitari elettronici come di seguito riportato:

[…] In sintonia con quanto espresso nel parere sul citato schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – Data Protection Officer), anche in relazione ai casi di data breach precedentemente illustrati.

Quindi non un obbligo, ma la consapevolezza che senza una figura di riferimento Privacy, ovvero una sorta di “RSPP sulla Privacy”, il titolare del trattamento non potrebbe governare efficacemente la Data Protection per i trattamenti di dati speciali che prevedono misure di sicurezza ed adempimenti specifici.

Sono questi i primi passi che, anche in qualità di Presidente di ASSO DPO, mi auguro portino ad una formalizzazione di una figura indispensabile per la corretta gestione della Privacy e della Data Protection all’interno delle nostre organizzazioni o, come auspicato dalla Presidente del CNIL (Garante Francese) Isabelle Falque Pierrotin durante la Conferenza internazionale dal titolo: “Privacy in a Connected World” tenutasi a Cambridge dal 6 all’8 luglio 2015 e a cui ho avuto il piacere di partecipare, il DPO dovrà essere una figura portante della riforma: una sorta di “direttore d’orchestra” punto di riferimento indispensabile per il Data Controller (titolare del trattamento per la normativa italiana).