Professionisti Responsabile Protezione Dati, RPD o Dpo: chi è e quand’è obbligatorio

Professionisti Pubblicato il 26 marzo 2018

Articolo di




> Professionisti Pubblicato il 26 marzo 2018

Data protection Officer: la nuova figura del Dpo, istituita dal regolamento europeo della Privacy che ha cancellato il codice della privacy. Ecco quando le aziende dovranno nominarlo.

Abrogato a partire dal 25 maggio 2018 il codice della privacy (l’ormai famoso decreto legislativo n. 196/2003), ora la disciplina sulla tutela dei dati personali è contenuta nel Regolamento Europeo della Privacy n. 2016/679. È qui che viene regolata la nuova figura del Dpo (Data protection officer) chiamato anche con il più facile nome di Responsabile della protezione dei dati. Si tratta del soggetto che aziende ed amministrazioni devono nominare per garantire il rispetto della riservatezza delle informazioni e dati personali in proprio possesso. Si può trattare di una persona fisica o anche giuridica. Non sono necessari – come il Garante aveva già avuto modo di chiarire – particolari titoli di studio o abilitazioni. Non c’è, in altri termini, un “bollino” che certifichi il profilo del Dpo. Per chiarire chi è e quando è obbligatorio il Responsabile per la Protezione dei Dati (Dpo), il Garante della Privacy ha di recente pubblicato sul proprio sito una serie di FAQ (Risposte alle domande più frequenti) che illustrano e chiariscono meglio le caratteristiche di questa nuova figura.

Chi è il responsabile della protezione dei dati personali (Rpd) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (Rpd), anche conosciuto con la dizione in lingua inglese data protection officer (Dpo) è una figura prevista dall’articolo 37 del regolamento (Ue) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento dei dati, per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del regolamento medesimo. Coopera con l’Autorità Garante per la Privacy (e proprio per questo, il suo nominativo va comunicato al Garante stesso (v. dopo) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Quali requisiti deve avere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nonostante l’assenza di specifici requisiti e attestazioni del Dpo, il Garante raccomandata ad aziende ed amministrazioni di verificare la presenza di competenze ed esperienze specifiche. Egli deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando l’articolo 97 del regolamento Ue 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD.

Quando è obbligatorio avere il Dpo, Responsabile della protezione dei dati?

La nomina del Dpo è obbligatoria per tutti gli enti pubblici, cioè senza alcun discrimine; mentre per i privati lo è solo in presenza di determinate circostanze.

Obbligati a nominare il Responsabile della protezione dei dati sono il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’articolo 37, paragrafo 1, lettere b) e c), del regolamento (Ue) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività cosiddette di core business) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala” si vedano le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile del trattamento dei dati personali (articolo 37, paragrafo 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; Caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

L’avvenuta designazione (sia essa obbligatoria o volontaria) sarà comunicata al Garante utilizzando l’apposito modulo indicato nelle Faq, mentre i dati di contatto vanno pubblicati sul sito web aziendale. Se la scelta cadrà su un interno, oltre alla redazione dell’atto di designazione, si dovrà avere cura di evitare conflitti di interesse con eventuali compiti ulteriori già assegnati alla stessa persona. Se, invece, la scelta riguarderà un esterno, la contrattualizzazione del rapporto di servizio dovrà fornire specifiche indicazioni su compiti, risorse e quant’altro utile per lo svolgimento del mandato nel contesto di riferimento; con l’avvertenza che, anche in caso di contratto con una società, l’individuazione riguardi comunque una persona fisica.

Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali? 

Nei casi diversi da quelli previsti dall’articolo 37, paragrafo 1, lettere b) e c), del regolamento (Ue) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: si veda anche il considerando 97 del regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il regolamento, la designazione di tale figura (si vedano, in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale? 

Il regolamento (Ue) 2016/679 prevede che un gruppo imprenditoriale (si veda la definizione di cui all’articolo 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, si veda il punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il regolamento (Ue) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (articolo 5, paragrafo 2, del regolamento; si vedano anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link:

http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi? 

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile It, ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso? 

Il regolamento (Ue) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (articolo 37, paragrafo 6, del regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (so veda il punto 2.4 delle suddette linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:
Informativa sulla privacy

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI