Responsabile della Protezione dei Dati personali (RPD) o Data Protection Officer (DPO)

Il GDPR istituisce la figura del Responsabile della Protezione dei Dati personali (RPD) o Data Protection Officer (DPO). Un’importante opportunità professionale.

Tra le novità più significative introdotte dal Regolamento Europeo 2016/679 sulla protezione dei dati personali (c.d. “GDPR”) spicca sicuramente la previsione del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO).

Il Responsabile della Protezione dei Dati o DPO, a norma dell’art. 37 del Regolamento, è il soggetto designato dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.

Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.

Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure un libero professionista.

Il Garante precisa che le Pubbliche Amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (DPO) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.

Il DPO, ai sensi dell’art. 38 del Regolamento, deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

Quali i compiti affidati al DPO?

L’articolo 39 del Regolamento individua i compiti del DPO:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

Quale ente pubblico deve nominare il DPO?

Il Regolamento Europeo stabilisce che i Titolari e i Responsabili del trattamento designino un DPO quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico; non sono comprese le autorità giurisdizionali quando esercitano le loro funzioni.

Sono tenuti alla designazione i soggetti ai sensi degli artt. 18 – 22 del Codice:

– le amministrazioni dello Stato, anche con ordinamento autonomo,
– gli enti pubblici non economici nazionali, regionali e locali,
– le Regioni e gli enti locali,
– le università,
– le Camere di commercio, industria, artigianato e agricoltura,
– le aziende del Servizio sanitario nazionale,
– le autorità indipendenti ecc.

La nomina è poi fortemente raccomandata per i soggetti privati che esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici).

Come deve essere nominato il DPO?

Se la scelta ricadesse su un professionista interno all’ente, servirebbe formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. Qualora invece, si ricorresse a soggetti esterni all’ente, la designazione costituirà parte integrante del contratto di servizi.

Indipendentemente dalla natura e dalla forma dell’atto scelto, è necessario che nello stesso sia individuato:

– il soggetto che opererà come DPO,
– i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del GDPR),
– le funzioni che questi sarà chiamato a svolgere.

Nell’atto di designazione devono risultare anche le motivazioni che hanno portato alla nomina della persona fisica selezionata, così da consentire la verifica del rispetto dei requisiti previsti dal GDPR. Una volta individuato il DPO, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i suoi dati di contatto, pubblicando gli stessi anche sul proprio sito internet e a comunicarli al Garante.

Leave your comment