Giuffrè Francis Lefebvre
24 maggio

Area Lavoro

Privacy: applicabile il nuovo Regolamento europeo

Dal 25 maggio 2018 è applicabile il nuovo Regolamento europeo in materia di protezione dei dati personali (Reg. UE 679/2016: “General Data Protection Regulation”, di seguito “GDPR”) e il relativo apparato sanzionatorio.
Il GDPR è vincolante in ogni sua parte sia per gli Stati membri che per i cittadini (attualmente è in fase di approvazione uno schema di decreto legislativo finalizzato a adeguare il quadro normativo nazionale alle disposizioni del regolamento).
Una delle novità più importanti del GDPR è la necessità di designare un responsabile della protezione dei dati (di seguito “RPD” o “Data protection officer – DPO”).
Per approfondimenti sulla nuova disciplina in tema di privacy rinviamo al Memento Lavoro 2018  e al Memento Contratti d’Impresa 2018

La precedente Direttiva (Dir. 95/46/CE) recepita dal D.Lgs. 196/2003 (c.d. Codice Privacy) viene espressamente abrogata.

Responsabile della protezione dei dati: chi è
Il RPD è un soggetto designato dal titolare o dal responsabile del trattamento dei dati con il compito di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR (art. 37 Reg. UE 679/2016).
Egli coopera con l'Autorità Garante e costituisce il punto di contatto fra la singola azienda e il Garante, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 Reg. UE 679/2016).
Il RPD deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy e offrire, con professionalità adeguata, consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il RPD deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

Quando è obbligatoria la nomina del RPD
Il titolare e il responsabile del trattamento dei dati devono nominare un RPD quando le loro attività principali consistono in trattamenti che:
- per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare (che avviene cioè in modo continuo, ricorrente o a intervalli definiti) e sistematico (cioè organizzato, predeterminato e metodico) degli interessati su larga scala;
- riguardano, su larga scala, categorie particolari di dati personali (previste dall’art. 9 Reg. UE 679/2016) o di dati relativi a condanne penali e a reati (previsti  dall’art. 10 Reg. UE 679/2016) (ad esempio: istituti di credito; imprese assicurative; società finanziarie; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; imprese di somministrazione di lavoro; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria; società di call center).

Nei casi diversi da quelli indicati, la designazione del RPD non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese), ma è comunque consigliabile al fine di garantire il rispetto della normativa ed il dialogo con le Autorità di protezione dei dati nonché per ridurre al minimo i rischi di una controversia.

Designazione del RPD e comunicazione
Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile del trattamento dei dati, che conosca la realtà operativa in cui avvengono i trattamenti, ma anche da soggetti esterni.
Il RPD scelto all'interno va nominato mediante specifico atto di designazione, mentre quello scelto all'esterno deve operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, devono indicare espressamente i compiti attribuiti al RPD, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Una volta designato, il nominativo del RPD e i relativi dati di contatto vanno comunicati, in via telematica, al Garante Privacy (art. 37, par. 7, Reg. UE 679/2016) in modo tale che le autorità di controllo possano contattare il RPD in modo facile e diretto.
Sul sito istituzionale del Garante è disponibile una procedura online per la comunicazione (reperibile all’indirizzo: https://servizi.gpdp.it/comunicazione-rpd/) e un fac-simile con tutti i dati da indicare (Comunicazione Garante Privacy 18 maggio 2018).
La comunicazione deve essere eseguita dal legale rappresentante del titolare/responsabile del trattamento dei dati (o da un suo delegato).

1) Un gruppo imprenditoriale può designare un unico RPD, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento e sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
2) Il titolare o il responsabile del trattamento che ha designato un RPD resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5 par. 2 Reg. UE 679/2016).
3) Il ruolo di RPD è compatibile con altri incarichi, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di RPD a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), o nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT; ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Le Redazioni Lavoro e Legale