Rottamazione quinquies: verso un nuovo "condono" fiscale Alice Cometto - 16/11/24  |  L'ipoteca a garanzia dell'assegno di mantenimento Matteo Santini - 10/11/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Gdpr: il responsabile della protezione privacy nel privato

Con delle nuove faq, il Garante Privacy ha chiarito alcuni aspetti fondamentali del ruolo del DPO in ambito privato in vista dell'entrata in vigore del nuovo regolamento europeo prevista per il 25 maggio 2018


di Valeria Zeppilli – In vista dell'ormai vicina entrata in vigore del nuovo regolamento europeo sulla privacy, il Garante ha di recente pubblicato delle nuove f.a.q. che fanno chiarezza sul ruolo e le funzioni del DPO (o RDP), ovverosia il responsabile della protezione dei dati personali, in ambito privato.

Vai alla guida GDPR: tutto quello che c'è da sapere

I compiti del DPO

Il DPO, in particolare, è un soggetto al quale il Regolamento (UE) 2016/679 affida il compito di cooperare con il Garante per garantire il rispetto della nuova normativa e di fungere da contatto tra questo e gli interessati per le questioni connesse al trattamento dei dati personali.

Egli, insomma, viene designato dal titolare o dal responsabile del trattamneto per svolgere funzioni "di supporto e controllo, consultive, formative e informative".

Chi deve designare il DPO

In ambito privato, la designazione del DPO è obbligatoria per i soggetti le cui principali attività "consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati". Per il Garante si tratta, ad esempio:

In tutti i casi in cui la designazione del responsabile del trattamento non è obbligatoria, per il Garante essa è comunque raccomandata.

Il DPO nei gruppi imprenditoriali

Le f.a.q. precisano che, in forza di quanto previsto dal Regolamento sul GDPR, all'interno di un gruppo imprenditoriale il DPO può anche essere uno solo.

Tuttavia, a tal fine è indispensabile che tale soggetto sia facilmente raggiungibile da ogni stabilimento, sia in grado di comunicare con gli interessati in maniera efficace e riesca a collaborare con le autorità di controllo.

I requisiti richiesti al responsabile della protezione dei dati personali

Al responsabile della protezione dei dati personali sono richiesti specifici requisiti.

Sebbene infatti non siano necessarie né l'iscrizione in appositi albi né delle specifiche attestazioni formali, tale soggetto deve comunque conoscere in maniera approfondita sia la normativa e le prassi in materia di privacy, sia le norme e le procedure amministrative dello specifico settore di riferimento in maniera tale da offrire la propria consulenza con la professionalità adeguata alla complessità del compito che è chiamato a svolgere.

Al DPO vanno garantite, inoltre, le risorse necessarie per l'espletamento dei propri compiti e la possibilità di agire in piena indipendenza e autonomia.

Le incompatibilità del DPO

In generale, il ruolo di responsabile della protezione dei dati personali è perfettamente compatibile con lo svolgimento di altri incarichi, purché non vi sia conflitto di interessi.

Per il Garante, quindi, è meglio evitare di nominare DPO un soggetto con incarichi di alta direzione, o che operi nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento, mentre va valutata tenendo conto delle circostanze del caso concreto l'assegnazione dell'incarico ai responsabili delle funzioni di staff.

DPO: chi nominare e come

Operativamente, il DPO può essere scelto sia tra i dipendenti del titolare o del responsabile del trattamento, mediante specifico atto di designazione, sia tra soggetti esterni, mediante contratto di servizi. Nella prima ipotesi deve trattarsi necessariamente di una persona fisica (eventualmente supportata da un apposito ufficio), nella seconda ipotesi può trattarsi anche di una persona giuridica.

In ogni caso, nella nomina vanno indicati espressamente i compiti spettanti al responsabile della protezione dei dati personali, sia le risorse che gli sono assegnate, sia ogni altra informazione utile in rapporto al contesto di riferimento.

I dati di contatto del DPO (ma non necessariamente il suo nominativo) vanno poi pubblicati dal titolare o dal responsabile del trattamento. All'autorità di controllo, invece, vanno comunicati sia il nominativo sia i dati di contatto.

Scarica l'atto di designazione del responsabile della protezione dei dati

Scarica il modello di comunicazione al Garante del Rpd

Leggi anche Privacy: multe fino a 10 milioni di euro per chi non nomina il Dpo

Data: 27/03/2018 10:36:00
Autore: Valeria Zeppilli