Il Garante per la Protezione dei Dati Personali, ha aggiornato le FAQ su questa figura (RPD) in ambito privato
Essendo alle porte l’entrata in vigore della nuova normativa, ecco un rapido riepilogo.
Il responsabile della protezione dei dati personali (anche detto Data Protection Officer – DPO) è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento.
Non deve possedere specifiche attestazioni formali o l’iscrizione in appositi albi, ma piuttosto un’approfondita conoscenza di normativa e prassi in materia di privacy, nonché di norme e procedure amministrative che caratterizzano lo specifico settore di riferimento, dovendo offrire, con il grado di professionalità adeguato, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure e garanzie adeguate al contesto in cui è chiamato a operare.
Le sue azioni devono essere messe in atto in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
I soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico:
- degli interessati su larga scala o in trattamenti su larga scala;
- di categorie particolari di dati personali o di dati relativi a condanne penali (il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c) del Regolamento (UE) 2016/679) sono tenuti alla designazione del RPD.
La designazione di tale figura risulta comunque raccomandata anche nei casi in cui non vige l’obbligo.
Un gruppo imprenditoriale ha la possibilità di designare un unico RPD, purché sia facilmente raggiungibile da ciascuno stabilimento e sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi), che conosca la realtà operativa in cui avvengono i trattamenti o da soggetti esterni, a condizione che garantisca l’effettivo assolvimento dei compiti.
Nel primo caso deve trattarsi di persona fisica, anche supportata da apposito ufficio, nel secondo caso anche di persona giuridica.
Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi.
Tali atti, da redigere in forma scritta, dovranno indicare i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Utile ricordare che il titolare o il responsabile del trattamento che abbia designato un RPD resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarlo.
I dati di contatto del responsabile designato dovranno essere pubblicati dal titolare o responsabile del trattamento.
Non è necessario invece pubblicare il nominativo del RPD; spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria.
Il nominativo del RPD e i dati di contattavanno invece comunicati all’Autorità di controllo.