Il Responsabile della protezione dei dati (RPD) o DPO (Data Protection Officer) è la figura che affianca il titolare e/o il responsabile del trattamento per le funzioni di supporto, controllo e prassi formative e informative sulle disposizioni previste dal GDPR.
Sebbene in alcuni casi la nomina del RPD sia obbligatoria, le linee guida di riferimento (Gruppo di lavoro Art. 29 per la protezione dei dati) ne raccomandano comunque la designazione anche in via volontaria, poiché contribuisce a facilitare la sorveglianza sulla sicurezza dei dati in azienda.
Oltre alle linee guida appena citate, anche gli articoli 37-39 del Regolamento UE 2016/679 GDPR sono focalizzati sulla figura del Responsabile della protezione dei dati. Vediamo, in questo articolo, quali sono i suoi compiti e quando è richiesta la sua nomina.
Nomina e obbligo RPD in azienda
Già la direttiva precedente al GDPR (95/46/CE3) prevedeva la presenza di un Responsabile dei dati, anche se non in maniera obbligatoria.
Con il nuovo Regolamento (come specificato all’art. 37), la nomina ha assunto carattere di obbligatorietà quando il titolare o responsabile del trattamento rientri in tre casi specifici:
- il trattamento è effettuato da autorità pubbliche o da organismi pubblici, ad eccezione delle autorità giurisdizionali che non esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare o del responsabile consistono in trattamenti che necessitano di monitoraggio regolare e sistematico di interessati su larga scala;
- le attività principali del titolare o del responsabile consistono in trattamenti, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e reati.
In ambito privato, quindi, non si parla solo di società informatiche per l’utilizzo di dati online, ma anche di istituti di credito, imprese assicurative, società di informazioni commerciali, imprese di somministrazione lavoro, ecc.
Il RPD viene nominato dal titolare e/o dal responsabile del trattamento dati, a seconda del soggetto che rientra nella casistica di obbligatorietà. Inoltre, è possibile incaricare un unico RPD all’interno di un gruppo di imprese o soggetti pubblici, purché esso sia “facilmente raggiungibile da ciascuno stabilimento”, ovvero sia in grado di comunicare e collaborare con tutti gli interessati in modo efficiente.
Come anticipato, anche nei casi in cui il regolamento non impone la designazione di un RPD, è possibile una nomina su base volontaria, con la possibilità di ricorrere a personale o consulenti esterni.
Compiti del Responsabile della protezione dei dati
Noto anche con l’acronimo inglese DPO (Data Protection Officer), il Responsabile della protezione dei dati è una figura importante, in quanto si interfaccia con tutti i soggetti coinvolti nel trattamento dei dati:
- personale operativo interno all’azienda;
- interessati;
- Autorità di controllo.
È importante chiarire che il ruolo del RPD è soprattutto di consulenza tecnica e legale, quindi non risponde personalmente qualora vi sia un’inosservanza del Regolamento GDPR. L’onere in materia di protezione dei dati, infatti, ricade sul Titolare o sul Responsabile del trattamento.
Come indicato all’articolo 39 del GDPR, i compiti del RPD comprendono:
- informare e fornire consulenza al titolare e al responsabile del trattamento, oltre che ai dipendenti che eseguono il trattamento, in merito agli obblighi del GDPR o derivanti da altre disposizioni dell'UE o degli Stati membri, relative alla protezione dei dati;
- sorvegliare l’osservanza del regolamento (e delle altre disposizioni europee sulla protezione dei dati) e delle politiche del titolare o del responsabile del trattamento;
- assicurarsi che le politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali vengano attuate in modo appropriato (compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo);
- fornire, se richiesto, un parere sulla valutazione d'impatto sulla protezione dei dati e sorvegliare lo svolgimento ai sensi dell'articolo 35;
- cooperare e fungere da punto di contatto per l'autorità di controllo per le questioni connesse al trattamento (tra cui la consultazione preventiva di cui all'articolo 36) ed effettuare, in caso, consultazioni relativamente a qualunque altra questione.
Inoltre, come specifica l’art. 38, sia il titolare che il responsabile del trattamento sono tenuti a sostenere il RPD nell'esecuzione delle sue attività “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.
Ruolo, conoscenze e competenze del RPD
Sempre secondo il Regolamento UE 2016/679, il soggetto che può ricoprire il ruolo di RPD può essere:
- un dipendente del titolare o del responsabile del trattamento, purché non entri in conflitto di interessi (per es. soggetti con incarichi di alta direzione o potere decisionale);
- una persona esterna all’azienda.
Nel caso di nomina interna si procede attraverso specifico atto di designazione. In alternativa, il soggetto esterno opera in base a un contratto di servizi.
Per assolvere alla posizione di RPD non sono richiesti specifici attestati o iscrizione in appositi albi. Tuttavia, secondo l’art. 37 par. 5 GDPR, “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”.
Le Linee guida forniscono ulteriori indicazioni relative alle conoscenze e competenze del RPD, che includono elementi quali:
- formazione adeguata e continua in materia di protezione dei dati;
- conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento;
- buona familiarità con le operazioni di trattamento svolte;
- conoscenza dei sistemi informativi e delle esigenze di sicurezza e protezione dei dati manifestate dal titolare;
- nel caso di autorità pubblica, conoscenza di norme e procedure amministrative applicabili;
- integrità e alti standard deontologici.
In base all'articolo 37, paragrafo 7, del Regolamento occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.
Questa disposizione mira a garantire che le autorità di controllo possano contattare il RPD in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 - punto 2.6). Infatti, in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto tra il singolo ente o azienda e il Garante.
È disponibile una procedura online per la comunicazione, variazione e revoca del nominativo all'indirizzo https://servizi.gpdp.it/comunicazionerpd/s/.
Garantire la privacy e il rispetto delle normative in tema di dati personali, dunque, serve a tutelare non solo la tua azienda e i tuoi collaboratori, ma anche tutte le figure coinvolte: dai clienti ai potenziali tali.
Se vuoi formare un tuo dipendente per la nomina a Responsabile della protezione dei dati, oppure avere maggiori informazioni sugli adempimenti da rispettare, contattaci ora e richiedi la consulenza di un nostro professionista.
 |
Scritto da: Chiara Merci Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi. |