10 aprile

Area Legale

Autorità garante per la protezione dei dati personale - Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato

a cura di dott. Francesca D’Ambrosio

Il Garante italiano privacy ha pubblicato un documento con le risposte alle domande più frequenti (c.d. FAQ) relative alla figura del Responsabile per la Protezione dei Dati (RDP o DPO) in ambito privato in applicazione delle norme del nuovo Reg. UE 2016/679 sulla protezione dei dati personali (GDPR).
Il documento completa le FAQ sul responsabile della protezione dei dati personali (detto anche Data Protection Officer – DPO), in ambito pubblico che erano state rilasciate qualche tempo fa.
Le FAQ sono disponibili sul sito del Garante www.garanteprivacy.it.

1.Individuazione e compiti del responsabile della protezione dei dati personali (RPD)

Il Responsabile della protezione dei dati personali (RPD) (previsto dall'art. 37 Reg. UE 2016/679) è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 Reg. UE 2016/679).

2. Requisiti necessari del RPD

Per svolgere il ruolo di RPD non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi. Questi, però, deve:
- possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy e delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
- poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare;
- agire in piena indipendenza (considerando 97 del Reg. UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici;
- poter disporre di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

3. Soggetti privati obbligati alla designazione del RDP

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (art. 37 par. 1 lett. b e c Reg. UE 2016/679). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37 par. 4 Reg. UE 2016/679).

Sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Soggetti non obbligati alla designazione del RPD

La designazione del responsabile del trattamento non è obbligatoria nei casi diversi da quelli previsti (dall'art. 37 par. 1 lett. b e c Reg. UE 2016/679).
In ogni caso la designazione di tale figura, resta comunque  raccomandata.
I criteri di nomina restano gli stessi del caso di nomina obbligatoria.

Ad esempio, non è obbligatoria la designazione in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti).

5. Unico RPD nell'ambito di un gruppo imprenditoriale

Un gruppo imprenditoriale può designare un unico responsabile della protezione dei dati personali, purché tale responsabile:
- sia facilmente raggiungibile da ciascuno stabilimento;
- sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Designazione del RPD

Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti o da un soggetto esterno, a condizione che garantisca l'effettivo assolvimento dei compiti che il Reg. UE 2016/679 assegna a tale figura.
La nomina del responsabile della protezione dei dati:
- se interno, deve risultare da uno specifico atto di designazione;
- se esterno,  deve essere formalizzata con un contratto di servizi. Questi dovrà avere le medesime prerogative e tutele di quello interno.
In ogni caso l’atto, da redigere in forma scritta, deve indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà avere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.
Il titolare o il responsabile del trattamento che abbia designato un RPD resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5 par. 2 Reg. UE 2016/679).
Il titolare o responsabile del trattamento deve:
- pubblicare i dati di contatto del responsabile designato. Non è necessario pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria;
- comunicare il responsabile designato e i relativi dati di contatto all'Autorità di controllo. A tal fine, allo stato, è possibile utilizzare un modello pubblicato on line (link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292).

7. Compatibilità del ruolo di RPD con altri incarichi

Il ruolo di RPD è compatibile con altri incarichi, a condizione che non sia in conflitto di interessi. Appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.).
Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. RPD: persona fisica o soggetto diverso?

Il responsabile della protezione dei dati personali può essere un dipendente del titolare o del responsabile del trattamento (art. 37 par. 6 Reg. UE 2016/679). Nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica.
L’Autorità raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

dott. Francesca D’Ambrosio