Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Nuove FAQ del Garante Privacy sul Responsabile della Protezione dei Dati in ambito privato

dpoIl Regolamento UE 2016/679, applicabile dal prossimo 25 maggio, introduce all’art. 37 una nuova importante figura: il Responsabile della Protezione dei Dati (RPD), conosciuto meglio nella sua versione inglese con l’acronimo DPO (Data Protection Officer).

Tale soggetto è designato dal Titolare o dal Responsabile del trattamento e assolve a funzioni di supporto, informazione, consulenza, sorveglianza relativamente all’applicazione del Regolamento; inoltre, coopera con l’Autorità di controllo (Garante Privacy) e funge da punto di contatto per essa in merito a questioni connesse al trattamento dei dati personali.

Alla figura del Responsabile della Protezione Dati non sono richieste attestazioni specifiche né l’iscrizione in appositi albi, tuttavia la sua nomina deve avvenire secondo criteri di approfondita conoscenza della normativa e della prassi in ambito privacy, senza trascurare ulteriori norme e procedure caratterizzanti lo specifico settore, oltre che secondo il grado di professionalità adeguato alla complessità del compito da svolgere.

Il nuovo soggetto configurato dal Regolamento dovrà agire in assoluta indipendenza e autonomia rispetto al Titolare e al Responsabile del trattamento, e disporrà di risorse organizzative ed economiche necessarie allo svolgimento delle sue funzioni.

Il Regolamento lascia spazio alla nomina di un soggetto che possa essere sia un dipendente del Titolare o del Responsabile, purché non sia in conflitto di interessi e venga designato mediante specifico atto scritto, sia una figura esterna che garantisca le condizioni sopra descritte e che operi sulla base di un contratto di servizi. Quanto alla compatibilità dell’incarico, è consigliato non affidare questo ruolo a soggetti di alta direzione (amministratore delegato, direttore generale, ecc.) o di strutture (direzione marketing, direzione finanziaria, ecc.) aventi potere decisionale in merito ai trattamenti. È prevista, inoltre, la possibilità di nominare un solo RPD nell’ambito di un unico gruppo imprenditoriale, purché sia facilmente raggiungibile da ciascuno stabilimento e possa comunicare in modo efficace sia con gli interessati sia con l’Autorità di controllo.

Con riferimento alla natura giuridica del soggetto, la normativa prevede che possa ricoprire il ruolo di RPD una persona fisica, obbligatoriamente nel caso di nomina interna, ma anche una persona giuridica, qualora venga designato un soggetto esterno; in quest’ultimo caso, si consiglia la chiara e netta ripartizione dei compiti all’interno del team RPD e che venga individuata una sola persona fisica come punto di contatto con il Garante e gli interessati.

Occorre ricordare che il Titolare e il Responsabile del trattamento hanno l’obbligo di comunicare all’Autorità di controllo il nominativo e i dati di contatto del RPD, e che tale designazione non esonera loro in alcun modo da qualsiasi responsabilità.

Infine, occorre definire quali siano il Titolare e il Responsabile del trattamento che, in ambito privato, debbano prevedere questa figura professionale. Le lettere b) e c) dell’art. 37 individuano un obbligo a fronte di principali attività di trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o, alle stesse condizioni, di categorie particolari di dati personali (i dati sensibili del Codice Privacy) o di dati inerenti a condanne penali e reati (i dati giudiziari del Codice Privacy).

È da considerarsi “attività principale” quella svolta in via primaria dal Titolare (ad esempio, per chi offre servizi assicurativi, la vendita di polizze e la gestione dei sinistri), mentre per “larga scala” si fa riferimento al numero di interessati, alla massa e alla tipologia di dati trattati, all’estensione geografica del trattamento (ad esempio, un istituto di credito e un fornitore di servizi di telecomunicazione, non il singolo libero professionista o la piccola-media impresa che tratta dati di dipendenti e fornitori).