Chi è il Responsabile Privacy o Privacy Manager? La sua nomina è obbligatoria?
Nonostante siano passati diversi anni dall’entrata in vigore del GDPR (Regolamento Europeo 679/2016), sono ancora molti i dubbi che, specialmente nelle realtà più strutturate, sorgono relativamente ad adempimenti e figure coinvolte nei processi privacy aziendali (obbligatoriamente e non).
Uno dei quesiti più frequenti riguarda la nomina del Responsabile Privacy aziendale, una figura per certi versi dibattuta e che, spesso, viene confusa con altre figure previste dal Regolamento.
Con questo articolo, dunque, faccio chiarezza sul tema, specificando in maniera puntuale, chi è il Responsabile Privacy o Privacy Manager, qual è il ruolo in azienda e le differenze per requisiti e mansioni con gli altri soggetti che hanno il compito di porre in essere le azioni necessarie affinché i dati personali siano trattati nel rispetto dei diritti degli interessati e far “dormire sonni tranquilli” ai titolari del trattamento.
Indice
| Chi è e cosa fa il Responsabile Privacy (o Privacy Manager)
Il Responsabile Privacy (o Privacy Manager) è quella figura, nominata dal titolare del trattamento, che si occupa materialmente di organizzare, dirigere e monitorare i processi privacy in azienda assicurandosi che vengano eseguite in modo corretto le attività di compliance aziendale alla normativa privacy, per esempio:
- le nomine a responsabile del trattamento,
- l’autorizzazione degli incaricati,
- la redazione e l’aggiornamento delle informative privacy,
- la formazione privacy degli autorizzati,
- l’aggiornamento del registro delle attività di trattamento
- e molte altre.
Per semplificare, pur essendo il titolare del trattamento il soggetto che secondo il GDPR deve stabilire mezzi e finalità del trattamento, con rilevanza verso l’esterno, spesso, nella pratica, egli è impossibilitato a seguire totalmente questo processo e si affida ad un altro soggetto, delegando totalmente o parzialmente.
Resta comunque il titolare del trattamento il responsabile nei confronti degli interessati, laddove fossero messe in atto violazioni della normativa privacy.
| Nomina del Responsabile Privacy Aziendale: interno o esterno?
Visti il ruolo e le mansioni, necessariamente il Responsabile Privacy dev’essere interno all’azienda.
Infatti, deve collaborare a stretto contatto con il titolare, spesso sostituendolo, e la sua figura è dirigenziale più che di consulenza.
| Il Responsabile Privacy è obbligatorio?
Altro aspetto da evidenziare è che nominare il Privacy Manager non è obbligatorio. Non esiste nessun articolo del GDPR che ne definisca requisiti e mansioni.
L’introduzione di questa figura deriva soprattutto dal principio di accountability stabilito dall’art.24 del GDPR che richiede al titolare di mettere in atto tutte le misure tecniche e organizzative adeguate per garantire (e dimostrare) che il trattamento sia effettuato secondo il Regolamento.
Infatti, come è solito fare (ritroviamo questo principio anche in altri contesti), il legislatore europeo non ammette un approccio statico alla normativa, ma al contrario, stabilendone i principi di base, responsabilizza chi ha l’obbligo di rispettarli ad avere un atteggiamento dinamico e che miri al miglioramento continuo.
Quindi, per il titolare del trattamento, soprattutto in contesti complessi, nominare il Privacy Manager che lo coadiuvi e coordini le attività di awareness, governance, trasparenza e controllo sui trattamenti di dati personali è sicuramente un ottimo modo per rispettare questo principio e dimostrare tutte le sue “buone intenzioni”.
| I requisiti del Responsabile della Privacy
Come ho detto non ci sono requisiti specifici che deve soddisfare il Responsabile per la Privacy, proprio perché non sono stabiliti dalla normativa.
Quello che è certo, però, è che il Privacy Manager dev’essere un collaboratore interno che abbia competenze sufficientemente avanzate in materia di protezione dei dati personali e che sia adatto a svolgere questo ruolo: magari una figura apicale che già si occupa di compliance, di servizi qualità o di servizi informativi e che acquisisca ulteriori nozioni e pratica tramite formazione specifica sul GDPR.
| Responsabile Privacy Interno all’Azienda e DPO: quali differenze?
Ma il Responsabile Privacy e il DPO (Data Protection Officer o Responsabile della Protezione dei Dati Personali) sono la stessa figura?
Assolutamente no.
Queste due figure possono essere confuse, ma rappresentano soggetti differenti coinvolti nei processi privacy, con alcune differenze sostanziali che le distinguono.
In primis, il Responsabile Privacy è interno all’azienda, il DPO, invece, è per la maggior parte dei casi un soggetto esterno (a parte alcune eccezioni).
Il DPO, poi, è una figura espressamente prevista dal GDPR, gli sono attribuite mansioni specifiche e rappresenta la figura con competenze tecniche e legali che svolge il doppio ruolo di responsabile per la protezione dei dati personali e sorvegliante dell’azienda, fungendo da punto di raccordo tra Titolare del Trattamento, gli interessati il Garante Privacy (per questo il mio professore lo chiama “il cane a tre teste“).
Approfondisci la figura del DPO (Data Protection Officer o Responsabile della Protezione dei Dati Personali) leggendo l’articolo a questo dedicato.
| Differenze tra Responsabile Privacy e Responsabile del Trattamento
Anche tra Responsabile Privacy e Responsabile del Trattamento si può creare confusione, e anche in questo caso si tratta di soggetti diversi.
L’art. 4 del GDPR definisce infatti il responsabile del trattamento come
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che tratta dati personali per conto del titolare del trattamento.
L’esempio più comune è la web agency che, in virtù di un contratto di fornitura dei suoi servizi, tratta dati personali di persone fisiche che interagiscono con il sito web o l’e-commerce aziendale.
In genere, è proprio il Responsabile Privacy nello svolgimento delle sue funzioni a nominare il responsabile del trattamento, ed esso a sua volta avrà obblighi specifici di rispetto della normativa privacy e GDPR. Leggi l’articolo per approfondire ruolo e nomina a responsabile del trattamento.
| Privacy Manager vs Incaricato/Designato del Trattamento
Discorso simile vale anche per la differenza tra Responsabile Privacy e Incaricato (o Designato) del Trattamento.
Si tratta anche in questo caso di ruoli differenti ma spesso confondibili.
L’incaricato/designato del trattamento non è espressamente previsto dal GDPR però, il regolamento stesso, non ne esclude la presenza definendolo come
persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
Nella pratica è individuabile come il dipendente del titolare (o della web agency che ha la responsabilità del trattamento) che in virtù delle sue mansioni all’interno dell’azienda deve necessariamente trattare dati personali di persone fisiche.
A livello gerarchico il Privacy Manager coordina il/i designato/i del trattamento per conto del titolare.
| Ruoli e funzioni Privacy: ecco cosa posso fare per te
Definire in maniera corretta i ruoli, le mansioni e le funzioni in ambito di protezione dei dati personali non è per nulla semplice, senza la giusta competenza in materia. Per essere sicuri di rispettare la compliance dettata dal GDPR, è bene affidarsi alla consulenza di un legale esperto in ambito privacy.
Parliamone, ecco la pagina dei contatti.
Floriana Capone
L’Avvocato dell’Ecommerce
