Sono state pubblicate sul portale del Garante per la protezione dei dati personali le linee guida aggiornate riguardanti il Responsabile per la protezione dei dati e le realtà nelle quali risulta obbligatoria la nomina.
Indice dei contenuti
Chi è il Responsabile della Protezione dei Dati personali (RPD, DPO) e quali compiti ha?
Il Responsabile della protezione dei dati personali (“RPD”, oppure Data Protection Officer, DPO) è una figura prevista dall’art. 37 del Reg. UE 2016/679 (“GDPR”).
Si tratta di una figura designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del GDPR. A tal fine, deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità.
Quali requisiti deve possedere?
Il Responsabile della Protezione dei Dati o DPO non è tenuto a specifiche attestazioni formali o di iscrizione in appositi albi. Deve, invece, possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure specifiche del settore di riferimento della realtà nel quale viene nominato. Deve poter offrire la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, supportando la realtà nell’adozione di adeguate misure organizzative e di sicurezza.
Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento. Il DPO deve poter disporre, infine, delle risorse necessarie per l’espletamento dei propri compiti.
Quali realtà sono soggette alla sua designazione?
Il Garante ha esplicitato (Art. 3 delle FAQ) le tipologie di attività soggette a nomina del Responsabile della Protezione dei Dati indipendentemente da dimensione e volumi:
- concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.)
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento;
Oltre al precedente elenco sono soggette alla nomina del Responsabile della Protezione dei Dati tutte le realtà che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure che svolgono un trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il Responsabile della Protezione dei Dati è obbligatoriamente una persona fisica?
Il GDPR prevede espressamente che il Responsabile della Protezione dei Dati possa essere un dipendente del titolare o del responsabile del trattamento in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. Il DPO, inoltre, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.
Qualora il DPO sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica purché sia indicata la persona fisica atta a fungere da punto di contatto con gli interessati e con l’Autorità di controllo.
Ecloga può ricoprire il ruolo di DPO Esterno, oltreché alla normale consulenza in materia di privacy e protezione dei dati. Richiedi un check-up gratuito.