Responsabile della Protezione dei Dati

Chi è il Responsabile della Protezione dei Dati Personali?
Il Responsabile della Protezione dei Dati Personali (di seguito R.P.D.) è una figura chiave, prevista all’art. 37 del Regolamento Generale sulla Protezione dei Dati RGPD 2016/679. Il R.P.D. (nella stesura inglese del Regolamento anche indicato in sigla D.P.O. Data Protection Officer), è designato da titolari o da responsabili del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative ed informative relativamente all’applicazione del RGPD e – più in generale – della normativa privacy.

A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo; cfr. art. 38, par. 1 del RGPD). Coopera, inoltre, con l’Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del RGPD).

Chi deve nominare il RPD?

Tutte le organizzazioni che – nello svolgimento delle loro attività – trattano dati personali di soggetti residenti in UE debbono rispettare i dettami del GDPR, ma non tutte sono tenute alla nomina del RPD; di seguito le realtà che debbono avere un Responsabile della Protezione dei Dati:

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Il primo punto è chiaro, sono tutti gli enti pubblici; in merito agli altri due, nel primo periodo di applicazione del RGPD sono sorti molteplici interrogativi, e l’Autorità Garante italiana ha specificato quali tipologie di organizzazioni private debbano obbligatoriamente nominare un R.D.P.

Tutte le altre organizzazioni possono comunque nominare il DPO su base volontaria; tale nomina, oltre ad essere una rilevante dimostrazione di accountability, innesca positivi processi di sensibilizzazione sulla privacy nella azienda e costituisce – in ultima analisi – una reale e proficua misura di protezione dei dati personali trattati dalle organizzazioni incaricanti. Diffidate da coloro che offrono esclusivamente prodotti e software per proteggere i dati personali, in quanto si tratta di una minima parte delle misure di protezione dei dati.

Quali sono i compiti del RPD?
I compiti primari del RPD – Responsabile della Protezione dei Dati personali sono:

  1. informare e fornire consulenza al Titolare o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
  5. essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Chi può essere nominato RPD?
In base all’articolo 37, paragrafo 5 GDPR, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di R.P.D. ; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua.

La figura RPD esterna
Le organizzazioni di dimensioni limitate probabilmente non disporranno di un soggetto che garantisca competenze, esperienza e qualifiche professionali adeguate, e potranno incaricare una figura esterna che abbia i requisiti necessari per rivestire il ruolo di RPD. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti o azienda) quando i processi di trattamento dei dati necessitano di elevate competenze interdisciplinari.

Autonomia del RPD
Il regolamento GDPR indica le garanzie essenziali per consentire al RPD di operare con un elevato grado di autonomia nella organizzazione incaricante. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

Chiedi il parere ad un professionista RPD esperto
Se permangono dei dubbi sulla nomina e/o – più in generale – sui vari aspetti della conformità alla normativa di protezione dei dati personali, contattateci. Siamo professionisti della privacy, certificati con lo schema attualmente più riconosciuto (UNI 11697 – profilo DPO) e svolgiamo ruoli di RPD sin dal 2018.