Al Responsabile devono essere fornite le risorse necessarie per l’espletamento delle proprie funzioni
Sono stati pubblicati sul sito del Garante per la protezione dei dati personali alcuni chiarimenti in merito alla nomina della nuova figura professionale del Responsabile della protezione dei dati (RPD, o Data Protection Officer, c.d. DPO) nel settore privato, prevista dal Regolamento UE 679/2016 (artt. 37–39), nell’ambito delle FAQ pubblicate in aggiunta a quelle già adottate dal Gruppo di lavoro dei Garanti Ue.
In merito, si precisa innanzitutto che il RPD viene designato dal titolare o dal responsabile del trattamentoper l’assolvimento di una serie di funzioni, e, più nello specifico ha compiti di supporto e controllo, consultivi, formativi e informativi con riguardo all’applicazione in generale del Regolamento UE 679/2016, oltre che di cooperazione con l’Autorità e di contatto con gli interessati, in merito al trattamento dei propri dati (artt. 38 e 39 del Regolamento).
I dati di contatto del RPD devono essere pubblicati dal titolare o dal responsabile e comunicati (in questo caso insieme al nominativo) all’Autorità di controllo, potendo utilizzare lo specifico modulo disponibile sul sito del Garante.
Quanto ai requisiti professionali, il RPD non deve essere in possesso di specifiche attestazioni formali, né occorre l’iscrizione in appositi albi, essendo richiesta solo un’“approfondita” conoscenza della normativa e delle prassi in materia di privacy e del settore di riferimento (art. 37, par. 5 del Regolamento). Nell’esercizio delle sue funzioni, il RPD deve essere in grado di offrire la consulenza necessaria per “progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. I principi ai quali deve attenersi l’RPD sono quelli di indipendenza e di autonomia: il RPD non deve ricevere istruzioni per quanto riguarda l’esecuzione dei compiti e deve riferire direttamente al vertice gerarchico del titolare o responsabile del trattamento (art. 38, par. 3 del Regolamento).
Al RPD devono essere fornite le risorse necessarie per l’espletamento dei propri compiti (art. 38, par. 2 del Regolamento); fra le spese vi sono, ad esempio, quelle legate all’impiego di personale, all’uso di locali e di attrezzature.
L’obbligo di designazione per i soggetti privati è limitato ai casi in cui le attività principali del titolare o del responsabile del trattamento consistano in trattamenti (art. 37, par. 1, lett. b) e c) del Regolamento):
– che, tenuto conto di natura, ambito di applicazione e/o finalità, richiedono il monitoraggio “regolare e sistematico” degli interessati su larga scala;
– su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (artt. 9e 10 del Regolamento).
Ulteriori casi di designazione obbligatoria possono essere previsti dal diritto dell’Unione o degli Stati membri (art. 37, par. 4 del Regolamento).
Fra i soggetti tenuti alla designazione del RPD, al verificarsi dei suddetti presupposti, vi sono, ad esempio, gli istituti di credito, le imprese assicurative, le società di revisione contabile, i partiti e movimenti politici, i sindacati, CAF e patronati, le imprese di somministrazione di lavoro e ricerca del personale, i call center e le società che forniscono servizi informatici.
Fuori dai sopra citati casi la nomina non è obbligatoria. A titolo esemplificativo, vengono richiamati i trattamenti effettuati da liberi professionisti operanti in forma individuale, agenti, rappresentanti e mediatori che non operano su larga scala, imprese individuali o familiari, piccole e medie imprese, con riguardo ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Viene ribadita comunque, alla luce del principio di “accountability”, l’opportunità della nomina di tale figura anche nelle ipotesi di non obbligatorietà.
Ai fini della designazione, si può ricorrere ad un dipendente del titolare o del responsabile, purché non sia in conflitto di interessi e “conosca la realtà operativa in cui avvengono i trattamenti”, o a soggetti esterni, “a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura”. Sarebbe opportuno evitare, a tal fine, l’assegnazione del ruolo a soggetti con incarichi di alta direzione (ad esempio, amministratore delegato) o con riguardo a strutture con potere decisionale su finalità e modalità del trattamento (ad esempio, direzione risorse umane, responsabile IT).
Il primo viene nominato con specifico atto di designazione, il secondo opera in base a un contratto di servizi. Entrambi tali atti devono essere redatti in forma scritta e indicare i compiti e le risorse assegnate, oltre a riportare ogni altra utile informazione rispetto al contesto specifico.
La nomina del RPD non esclude da responsabilità il titolare o il responsabile del trattamento per l’osservanza della normativa in materia di privacy, che deve essere in grado di dimostrare (art. 5, par. 2 del Regolamento).