23 Aprile 2018

Le nuove regole privacy – IV° parte

di Lucia Recchioni - Comitato Scientifico Master Breve 365
Scarica in PDF

Il principio di “responsabilizzazione che, come abbiamo detto, ispira la disciplina europea in materia di privacy, trova espressione anche nella previsione della nuova figura del “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese Data Protection Officer).

L’RPD assiste il titolare del trattamento e il responsabile, garantendo che il trattamento dei dati sia effettuato conformemente alle previsioni del Regolamento; nello specifico, i compiti dell’RDP sono dettagliati nell’articolo 39 Regolamento e vanno dall’attività di informazione e consulenza, alla vigilanza e alla cooperazione con le Autorità di controllo.

L’RPD deve essere obbligatoriamente nominato solo al ricorrere delle specifiche cause previste dall’articolo 37 del Regolamento, ovvero quando:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccetto le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

Come chiarito dalle Faq in Allegato alle Linee guida del “Gruppo di lavoro Articolo 29 per la protezione dei datisono quindi tenuti alla nomina di un RDP, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

La designazione del responsabile del trattamento non è invece obbligatoria, ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Anche ove il Regolamento non imponga in modo specifico la designazione di un RPD, può tuttavia risultare utile procedere a tale designazione su base volontaria; il Gruppo di lavoro “Articolo 29”, nelle sue linee guida, incoraggia gli approcci di questo genere.

Le stesse Faq precisano inoltre che il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile, non in conflitto di interessi, che conosca la realtà operativa in cui avvengono i trattamenti e che, soprattutto, possieda un’approfondita conoscenza della normativa e delle prassi in materia di privacy.

Alternativamente, l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti assegnati a tale figura dal Regolamento.

A tal proposito giova inoltre precisare che uno stesso RPD può svolgere le sue funzioni per conto di più titolari.

Il responsabile della protezione dei dati, in tutti i casi, dovrà operare sulla base di un atto in forma scritta, nel quale dovranno essere dettagliati i compiti attribuiti e le risorse assegnate. Più precisamente, il responsabile della protezione dei dati:

  • dovrà essere nominato mediante specifico atto di designazione se è stato scelto all’interno (si segnala, a tal proposito, che è già disponibile sul sito del Garante uno schema di atto di designazione),
  • dovrà operare in base a un contratto di servizi se è stato individuato in un soggetto esterno.

I dati di contatto del responsabile designato dovranno essere inoltre pubblicati dal titolare o responsabile del trattamento; non è invece necessario (sebbene sia comunque consigliato) pubblicare il nominativo del responsabile della protezione dei dati.

Giova da ultimo precisare che, come chiarito nelle Linee Guida del Gruppo di lavoro “Articolo 29”, “I RPD non rispondono personalmente in caso di inosservanza del RGPD. Quest’ultimo chiarisce che spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, paragrafo 1). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento”.

Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso:

Il nuovo regolamento europeo sulla privacy