GDPR: DPO / RPD - F.A.Q. del Garante - SDPP-RSM 2024

Vai ai contenuti

Menu principale:

GDPR: DPO / RPD - F.A.Q. del Garante

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUTORITA' DI CONTROLLO SPPD
GDPR: DPO / RPD - F.A.Q. del Garante


CHISSA' CHI LO SA?
Una storica trasmissione dei tempi della TV bianco e nero condotta da Fabio Conti, si presta come modello domanda/risposta per trattare velocemente una serie di dubbi e domande arrivate all'Autorità Garante.

NOTA : il testo sotto riportato è integralmente tratto dalle FAQ del sito istituzionale ed è intenzionalmente colorato in blu.

____________________________________________________________

Il Garante per la protezione dei dati personali ha pubblicato le  nuove FAQ relative al Responsabile della Protezione dei Dati (Data  Protection Officer) in ambito privato, nuova figura introdotta dal  Regolamento UE 2016/679. Di seguito, punto per punto le risposte alle  domande frequenti pubblicate sul sito dell'Autorità:


Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
Il responsabile della protezione dei  dati personali (anche conosciuto con la dizione in lingua inglese data  protection officer – DPO) è una figura prevista dall’art. 37 del  Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal  titolare o dal responsabile del trattamento per assolvere a funzioni di  supporto e controllo, consultive, formative e informative relativamente  all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e  proprio per questo, il suo nominativo va comunicato al Garante; v. faq  6) e costituisce il punto di contatto, anche rispetto agli interessati,  per le questioni connesse al trattamento dei dati personali (artt. 38 e  39 del Regolamento).

Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei  dati personali, al quale non sono richieste specifiche attestazioni  formali o l’iscrizione in appositi albi, deve possedere un’approfondita  conoscenza della normativa e delle prassi in materia di privacy, nonché  delle norme e delle procedure amministrative che caratterizzano lo  specifico settore di riferimento.
Deve poter offrire, con il grado di  professionalità adeguato alla complessità del compito da svolgere, la  consulenza necessaria per progettare, verificare e mantenere un sistema  organizzato di gestione dei dati personali, coadiuvando il titolare  nell’adozione di un complesso di misure (anche di sicurezza) e garanzie  adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in  piena indipendenza (considerando 97 del Regolamento UE 2016/679) e  autonomia, senza ricevere istruzioni e riferendo direttamente ai  vertici.
Il responsabile della protezione dei dati personali deve  poter disporre, infine, di risorse (personale, locali, attrezzature,  ecc.) necessarie per l’espletamento dei propri compiti.

Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla  designazione del responsabile della protezione dei dati personali il  titolare e il responsabile del trattamento che rientrino nei casi  previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE)  2016/679. Si tratta di soggetti le cui principali attività (in primis,  le attività c.d. di “core business”) consistono in trattamenti che  richiedono il monitoraggio regolare e sistematico degli interessati su  larga scala o in trattamenti su larga scala di categorie particolari di  dati personali o di dati relative a condanne penali e a reati (per  quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e  di “larga scala”, v. le “Linee guida sui responsabili della protezione  dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli  Stati membri può prevedere ulteriori casi di designazione obbligatoria  del responsabile del trattamento dei dati personali (art. 37, par. 4).
Ricorrendo i suddetti presupposti, sono  tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti  di credito; imprese assicurative; sistemi di informazione creditizia;  società finanziarie; società di informazioni commerciali; società di  revisione contabile; società di recupero crediti; istituti di vigilanza;  partiti e movimenti politici; sindacati; caf e patronati; società  operanti nel settore delle “utilities” (telecomunicazioni, distribuzione  di energia elettrica o gas); imprese di somministrazione di lavoro e  ricerca del personale; società operanti nel settore della cura della  salute, della prevenzione/diagnostica sanitaria quali ospedali privati,  terme, laboratori di analisi mediche e centri di riabilitazione; società  di call center; società che forniscono servizi informatici; società che  erogano servizi televisivi a pagamento.

Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti  dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la  designazione del responsabile del trattamento non è obbligatoria (ad  esempio, in relazione a trattamenti effettuati da liberi professionisti  operanti in forma individuale; agenti, rappresentanti e mediatori  operanti non su larga scala; imprese individuali o familiari; piccole e  medie imprese, con riferimento ai trattamenti dei dati personali  connessi alla gestione corrente dei rapporti con fornitori e dipendenti:  v. anche considerando 97 del Regolamento, in relazione alla definizione  di attività “accessoria”).
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che  permea il Regolamento, la designazione di tale figura (v., in proposito,  le menzionate linee guida), i cui criteri di nomina, in tale evenienza,  rimangono gli stessi sopra indicati.

È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?
Il Regolamento (UE) 2016/679 prevede che  un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19)  possa designare un unico responsabile della protezione dei dati  personali, purché tale responsabile sia facilmente raggiungibile da  ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3  delle linee guida in precedenza menzionate). Inoltre, dovrà essere in  grado di comunicare in modo efficace con gli interessati e di  collaborare con le autorità di controllo.

Il responsabile della  protezione dei dati personali deve essere un soggetto interno o può  essere anche un soggetto esterno? Quali sono le modalità per la sua  designazione?
Il ruolo di responsabile della  protezione dei dati personali può essere ricoperto da un dipendente del  titolare o del responsabile (non in conflitto di interessi) che conosca  la realtà operativa in cui avvengono i trattamenti; l’incarico può  essere anche affidato a soggetti esterni, a condizione che garantiscano  l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679  assegna a tale figura. Il responsabile della protezione dei dati scelto  all’interno andrà nominato mediante specifico atto di designazione,  mentre quello scelto all’esterno, che dovrà avere le medesime  prerogative e tutele di quello interno, dovrà operare in base a un  contratto di servizi.
Tali atti, da redigere in forma scritta,  dovranno indicare espressamente i compiti attribuiti, le risorse  assegnate per il loro svolgimento, nonché ogni altra utile informazione  in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il  responsabile della protezione dei dati personali (interno o esterno)  dovrà ricevere supporto adeguato in termini di risorse finanziarie,  infrastrutturali e, ove opportuno, di personale. Il titolare o il  responsabile del trattamento che abbia designato un responsabile per la  protezione dei dati personali resta comunque pienamente responsabile  dell’osservanza della normativa in materia di protezione dei dati e deve  essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v.  anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).


I dati di contatto del responsabile  designato dovranno essere infine pubblicati dal titolare o responsabile  del trattamento. Non è necessario - anche se potrebbe rappresentare una  buona prassi - pubblicare anche il nominativo del responsabile della  protezione dei dati: spetta al titolare o al responsabile e allo stesso  responsabile della protezione dei dati, valutare se, in base alle  specifiche circostanze, possa trattarsi di un’informazione utile o  necessaria. Il nominativo del responsabile della protezione dei dati e i  relativi dati di contatto vanno invece comunicati all’Autorità di  controllo. A tal fine, allo stato, è possibile utilizzare il modello  disponibile scaricabile dall'apposito link sul sito del Garante.

Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
Si, a condizione che non sia in  conflitto di interessi. In tale prospettiva, appare preferibile evitare  di assegnare il ruolo di responsabile della protezione dei dati  personali a soggetti con incarichi di alta direzione (amministratore  delegato; membro del consiglio di amministrazione; direttore generale;  ecc.), ovvero nell’ambito di strutture aventi potere decisionale in  ordine alle finalità e alle modalità del trattamento (direzione risorse  umane, direzione marketing, direzione finanziaria, responsabile IT  ecc.). Da valutare, in assenza di conflitti di interesse e in base al  contesto di riferimento, l’eventuale assegnazione di tale incarico ai  responsabili delle funzioni di staff (ad esempio, il responsabile della  funzione legale).

Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede  espressamente che il responsabile della protezione dei dati personali  possa essere un “dipendente” del titolare o del responsabile del  trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà  organizzative di medie e grandi dimensioni, il responsabile della  protezione dei dati personali, da individuarsi comunque in una persona  fisica, potrà essere supportato anche da un apposito ufficio dotato  delle competenze necessarie ai fini dell’assolvimento dei propri  compiti.
Qualora il responsabile della protezione  dei dati personali sia individuato in un soggetto esterno, quest’ultimo  potrà essere anche una persona giuridica (v. il punto 2.4 delle  suddette Linee guida).
Si raccomanda, in ogni caso, di  procedere a una chiara ripartizione di competenze, individuando una sola  persona fisica atta a fungere da punto di contatto con gli interessati e  l’Autorità di controllo.



Torna ai contenuti | Torna al menu