Il Responsabile della protezione dei dati
Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ha previsto una nuova figura, all’interno delle aziende o degli studi professionali che trattano “dati personali”, quella del “responsabile della protezione dei dati” ( RPD, oppure, secondo la denominazione inglese, il DPO ).
Gli articoli 37, 38 e 39 del GDPR definiscono l’ambito della sua attività.
Le funzioni del responsabile della protezione dei dati
Questo, in generale, ha il compito di « informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento ».
Più in particolare, dovrà:
- « sorvegliare l’osservanza del Regolamento, compresa la formazione del personale che partecipa ai trattamenti »;
- « supportare il titolare, anche con riguardo alla tenuta di un registro delle attività di trattamento » [2];
- Infine, « se richiesto, fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati » (DPIA).
Per potergli permettere di svolgere la propria funzione è assolutamente necessario che al responsabile della protezione dei dati:
- « sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali », dal titolare del trattamento o dal responsabile del trattamento;
- gli siano fornite « le risorse necessarie per assolvere i compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica »;
- che operi in piena indipendenza ( è vietato che egli riceva « istruzioni per quanto riguarda l’esecuzione dei compiti », è altresì vietato che sia « rimosso o penalizzato dal titolare per l’adempimento dei propri compiti »).
Quando occorre designare un responsabile della protezione dei dati
E’ bene precisare che non tutte le aziende e gli studi debbano necessariamente procurarsi un Responsabile della protezione dei dati (RPD).
Tale figura, infatti, è obbligatoria solo quando:
- il trattamento « è effettuato da un’autorità pubblica o da un organismo pubblico »;
- l’azienda si occupa del « monitoraggio regolare e sistematico degli interessati su larga scala »;
- tratta « su larga scala, categorie particolari di dati personali » [1].
Inoltre, il Garante della Privacy ha precisato che « la designazione del responsabile della Protezione dei Dati non è obbligatoria [ma è comunque raccomandata] in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti » [2].
Il concetto di “larga scala” è inteso rispetto a parametri geografici, di volume dei dati trattati, di percentuale di popolazione trattata, di durata [3].
Come designare il responsabile della protezione dei dati
Nell’individuazione del Responsabile della protezione dei dati (RPD), interno o esterno all’azienda, il titolare è tenuto a verificare il possesso nel candidato di adeguate « qualità professionali ».
Per queste, s’intende « la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati » nonché la « capacità di assolvere i compiti ».
Non è previsto invece il possesso di un particolare titolo di studio o certificazione.
Nell’ipotesi di designazione d’un soggetto interno all’azienda, è chiaramente necessario:
- « che conosca la realtà operativa in cui avvengono i trattamenti »;
- che sia « nominato mediante specifico atto di designazione » [2]. Il rapporto con un soggetto esterno, invece, sarà documentato da un « contratto di servizi ».
Ovviamente l’RPD « è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti » e non può svolgere altre funzioni che « diano adito a un conflitto d’interessi ».
L’ultimo obbligo, in proposito, in capo al titolare del trattamento è quello della pubblicazione dei « dati di contatto del responsabile della protezione dei dati e di comunicarli all’Autorità di controllo » ( il Garante della Privacy ).
Tanto l’Autorità, quanto gli “interessati” al trattamento, infatti, potranno fare riferimento al Responsabile della protezione dei dati (RPD) per ogni comunicazione.
–
Fonti e Note:
Credits : Photo by Scott Graham on Unsplash
[1] per “categoria particolari di dati personali”, per come specificato dagli articoli 9 e 10 del GDPR, s’intendono:
- « l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona »;
- « dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza » ( quest’ultimo, tuttavia, avviene solo sotto il controllo dell’Autorità Pubblica ).
[2] Garante della Privacy, “Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato”.
[3] Come esempi di trattamenti su “larga scala”, potremmo citare i casi del trattamento di dati relativi a pazienti svolto da un ospedale, quello dei clienti di una compagnia assicurativa o di una banca, il tracciamento degli utenti attraverso titoli di viaggio da un servizio di trasporto pubblico cittadino, il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o d’internet service providers.
>>> Approfondimento: “ [Download non trovato] ” [PDF, EN]
>>> Approfondimento: “ [Download non trovato] ” [PDF, EN]
Commenti più recenti