Prendiamo atto, con grande rammarico, della dipartita del dottor Giovanni Buttarelli, Garante Europeo per la Protezione dei Dati Personali.

Nel manifestare il nostro più profondo cordoglio ne vogliamo ricordare, assieme all'elevatissimo profilo professionale, il garbo squisito, la grande umanità e disponibilità, doti che il dottor Buttarelli non ha mai lasciato offuscare dal ruolo di alto profilo istituzionale che ricopriva. Per farlo ci affidiamo alle parole dell'avvocato Nicola Fabiano, Presidente dell'Autorità Garante per la Protezione dei dati personali della Repubblica di San Marino, che ha avuto il privilegio di conoscere Giovanni Buttarelli personalmente (qui il link all'articolo originale).

Apprendo dal comunicato pubblicato sul sito dell’EDPS della dipartita del dott. Giovanni Buttarelli.

La notizia mi rattrista e non poco.

Il post pubblicato sul sito dell’EPDS definisce Giovanni Buttarelli "uomo brillante e visionario, che si è sempre dedicato con passione alla famiglia e al lavoro, servendo fino in fondo la magistratura italiana e l’Unione Europea, e onorandone i valori".

È assolutamente così!

Ho conosciuto personalmente Giovanni Buttarelli nel lontano 2009.

(Sintesi del contributo scientifico in occasione del Privacy Day)

Il Regolamento Europeo ha istituzionalizzato la figura del DPO nell’ambito delle figure soggettive operanti in ambito privacy o tutela dei dati personali, dedicandogli la Sezione 4 del Capo IV.
Nel Regolamento laddove si parla di tale figura soggettiva viene usato il singolare; tuttavia deve ritenersi che il termine singolare usato dal Regolamento indichi genericamente la figura soggettiva che può assumere la veste individuale o collegiale/in team.
La scelta del DPO è demandata alla libera individuazione da parte del Titolare che può attingere a risorse interne dell’Organizzazione o rivolgersi al Mercato, individuando, in base al principio di accountability la forma di DPO più confacente alla esigenze di tutela dei dati personali trattati dall’Organizzazione.
Orbene poiché il Regolamento all’art. 39 stabilisce i compiti cui è deputato il DPO appare evidente che la forma di DPO, individuale o in team, inerisce solo la struttura organizzativa dell’organo e non incide sui compiti che rimangono identici per l’una o l’altra forma.

(Sintesi Contributo scientifico in occasione del Privacy Day)

Il Regolamento stabilisce, all'art. 37, l'obbligatorietà della nomina del DPO per gli organismi pubblici, ad eccezione delle autorità giurisdizionali quando esercitano la loro precipua funzione, e per le organizzazioni private a determinate condizioni.
Il Garante intervenuto sul tema ha rilasciato della FAQ che costituiscono delle Linee Guida sugli alcuni aspetti problematici della figura soggettiva nei due diversi ambiti.

SETTORE PUBBLICO

Per organismo pubblico, in assenza di una definizione da parte del Regolamento bisogna rimettersi alle legislazioni nazionali. Il Garante ha precisato che in Italia può farsi riferimento agli organismi di cui agli artt. 18-22 del vecchio codice della Privacy per cui tutti gli enti pubblici territoriali, gli enti pubblici non economici, sia a livello nazionale che locale, sono obbligati alla designazione del DPO.
In ordine alla scelta l’Ente è libero di attingere a risorse interne od esterne anche attraverso l'esternalizzazione del servizio a terzi. Sono preferibili soggetti accreditati presso il MEPA in caso di scelta di soggetto esterno all’Ente.