Responsabile della Protezione dei Dati – Chi è – Quando designarlo

I SEGUENTI CONTENUTI SONO IN CONTINUO AGGIORNAMENTO

Siamo ancora in attesa dei decreti del governo che dovranno fissare alcuni aspetti della regolametazione, per cui le cose potrebbero variare, anche in considerazione del fatto che il legislatore italiano si è talvolta discostato dalle indicazioni provenienti dell’Europa.

Responsabile della Protezione dei Dati personali (RPD)

Anche conosciuto in inglese Data Protection Officer (DPO), è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. È il soggetto incaricato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto, controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Coopera con l’Autorità, quindi il suo nominativo va comunicato al Garante e costituisce il punto di contatto (artt. 38 e 39 del Regolamento) anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Non sono richieste specifiche attestazioni iscrizioni in appositi albi ma deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Quando non importa designare un RDP (DPO)

in relazione a “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria””

Quando deve essere utilizzata la figura del RDP (DPO)

nel caso sussita l’attività di “monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.)”

Figura interna o esterna

Il soggetto RDP (DPO) “può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti con atto di designazione; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento, con contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.”

Il Responsabile del Trattamento “dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale”.

Persona o soggetto giuridico

Se il Responsabile del Trattamento è un dipendente del titolare o del responsabile del trattamento, potrà “essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.”
Nel caso sia un soggetto esterno, è previsto anche l’utilizzo di una persona giuridica. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Responsabilità nei confronti del trattamento dei dati

In ogni caso, il Titolare del Trattamento ed il Responsabile del Trattamento, rimangono responsabili dell’osservanza della normativa.

[su_button url=”https://www.dotgrafica.com/tag/gdpr/” background=”#ffa31c” wide=”yes” center=”yes” radius=”round” icon=”icon: heart”]VEDI TUTTI GLI ARTICOLI SULLA NORMATIVA EUROPEA “GDPR”[/su_button]

LEGGI LE FAQs SUL SITO DEL GARANTE.