In attesa del 25 maggio, data dell’entrata in vigore del Regolamento UE 2016/679 in materia di protezione dei dati personali, il Garante della Privacy continua a pubblicare approfondimenti per una corretta applicazione della normativa.
Le FAQ sul “Responsabile della Protezione dei Dati (RPD) in ambito privato” seguono le FAQ redatte per l’ambito pubblico e pubblicate in precedenza, e si aggiungono a quelle adottate in allegato alle Linee guida sul RPD, redatte dal “Gruppo di Lavoro art. 29 per la Protezione dei dati”.
8 domande e risposte sulla figura del Responsabile della Protezione dei Dati Personali
Il focus delle ultime FAQ è sulla figura del Responsabile della protezione dei dati personali (RPD o DPO in inglese) e su 8 domande – e relative risposte – che aiutano a chiarire meglio funzioni e ruoli del RDP, partendo proprio dalla definizione del ruolo, specificando i requisiti professionali, le modalità di nomina, deroghe rispetto alla sua obbligatorietà, responsabilità, compatibilità con altri incarichi, se possa essere o meno una persona giuridica.
Vediamole insieme.
1. Chi è il Responsabile della Protezione dei Dati Personali (RPD) e quali sono i suoi compiti?
Il RPD è disciplinato nella sezione 4 del Regolamento, agli articoli 37-39. Si tratta di un soggetto nominato dal titolare o dal responsabile del trattamento per attività di supporto e controllo, consultive, formative e informative ai fini dell’applicazione del Regolamento UE 2016/679.
Ha anche il compito di cooperare con l’Autorità e costituisce il punto di contatto per tutte le questioni connesse al trattamento dei dati personali. Infatti, il suo nominativo deve essere comunicato al Garante per la Privacy, secondo un modello definito.
I compiti del responsabile sono dettagliati all’articolo 39, e comprendono:
- informare e fornire consulenza al titolare del trattamento, al responsabile del trattamento, ai dipendenti in merito agli obblighi derivanti dal regolamento e dalle altre normative sulla tutela dei dati personali;
- sorvegliare l’osservanza delle norme; attribuire le responsabilità, sensibilizzare, fare formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
- cooperare con l’autorità di controllo e fungere da punto di contatto.
2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Da un lato si richiede una profonda conoscenza della normativa, dall’altro una facilità di comprensione delle procedure amministrative che caratterizzano il settore di riferimento.
Il livello di professionalità non deve necessariamente essere certificato attraverso iscrizioni ad albi o altre forme di certificazione, ma deve essere tale da garantire la capacità di gestire attività complesse, fornire consulenza, verificare e mantenere un sistema organizzato adeguato.
La nuova figura in azienda deve essere indipendente, riferendo direttamente ai vertici della società, ed autonomo, dotato di risorse necessarie all’adempimento dei propri compiti.
3. Quali soggetti sono obbligati alla nomina del RPD?
I soggetti obbligati sono coloro che, per la propria attività principale, richiedono il monitoraggio regolare e sistematico di dati personali, su larga scala. Pertanto, a titolo esemplificativo, devono adempiere a tale obbligo gli istituti di credito; le imprese assicurative; le società di revisione contabile; le società di recupero crediti; i partiti e movimenti politici; i sindacati e così via dicendo.
4. Quali sono invece esentati?
Al contrario, non è obbligatorio nominare un RPD nel caso di: agenti, imprese individuali o familiari, piccole e medie imprese.
5. Quale deve essere il numero di RPD in caso di un gruppo imprenditoriale?
Secondo il Regolamento, il responsabile della protezione dei dati personali deve essere unico, a condizione che “sia facilmente raggiungibile da ciascuno stabilimento”.
La raggiungibilità è prevista dall’articolo 37 del Regolamento e si deve leggere in relazione ai compiti del RPD, in quanto punto di contatto per gli interessati, per l’autorità di controllo e per tutti i soggetti interni all’ente. Infatti, uno dei ruoli del RPD consiste nell’“informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”.
6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
Il RPD può essere un dipendente, che non sia in posizione di conflitto di interessi e che conosca la realtà operativa in cui avvengono i trattamenti dei dati. La nomina in tal caso deve essere ufficiale ed in forma scritta.
Può anche essere un soggetto esterno, che dovrà operare sulla base di un contratto di servizi, che indichi espressamente i compiti attribuiti, le risorse assegnate e tutte le informazioni utili al rapporto.
7. Quali sono i possibili conflitti tra il ruolo del RPD e altri incarichi?
A priori, non è esclusa la possibilità di assegnare altri ruoli al RPD, ma l’Authority preferisce che non venga conferito questo ruolo a persone con incarichi di alta direzione oppure nell’ambito di strutture che hanno potere decisionale sulle finalità e sulle modalità del trattamento dei dati, come direzione delle risorse umane, direzione marketing, direzione finanziaria, responsabile IT.
8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Riprendendo la prima domanda, si richiama l’articolo 37 del Regolamento, in cui si legge che il responsabile della protezione dei dati personali può essere un “dipendente”. In realtà organizzative di medie e grandi dimensioni, il Garante della Privacy conferma comunque la possibilità che sia una persona giuridica.
In tal caso, la figura esterna potrà essere supportata da un apposito ufficio, dotato delle competenze necessarie ai fini dell’assolvimento dei compiti previsti dal Regolamento, raccomandando di definire a una chiara ripartizione delle competenze ed di individuare in ogni caso una sola persona fisica come punto di contatto con gli interessati e l’Autorità di controllo.