di Valeria Zeppilli - In vista dell'ormai vicina entrata in vigore del nuovo regolamento europeo sulla privacy, il Garante ha di recente pubblicato delle nuove f.a.q. che fanno chiarezza sul ruolo e le funzioni del DPO (o RDP), ovverosia il responsabile della protezione dei dati personali, in ambito privato.
Vai alla guida GDPR: tutto quello che c'è da sapere
I compiti del DPO
Il DPO, in particolare, è un soggetto al quale il Regolamento (UE) 2016/679 affida il compito di cooperare con il Garante per garantire il rispetto della nuova normativa e di fungere da contatto tra questo e gli interessati per le questioni connesse al trattamento dei dati personali.
Egli, insomma, viene designato dal titolare o dal responsabile del trattamneto per svolgere funzioni "di supporto e controllo, consultive, formative e informative".
Chi deve designare il DPO
In ambito privato, la designazione del DPO è obbligatoria per i soggetti le cui principali attività "consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati". Per il Garante si tratta, ad esempio:
- degli istituti di credito;
- delle imprese assicurative;
- dei sistemi di informazione creditizia;
- delle società finanziarie;
- delle società di informazioni commerciali;
- delle società di revisione contabile;
- delle società di recupero crediti;
- degli istituti di vigilanza;
- dei partiti e dei movimenti politici;
- dei sindacati;
- dei caf e dei patronati;
- delle società che operano nel settore delle telecomunicazioni o della distribuzione di energia elettrica o gas;
- delle imprese di somministrazione di lavoro e ricerca del personale;
- delle società che operano nel settore della cura della salute e della prevenzione/diagnostica sanitaria;
- delle società di call center;
- delle società che forniscono servizi informatici;
- delle società che erogano servizi televisivi a pagamento.
In tutti i casi in cui la designazione del responsabile del trattamento non è obbligatoria, per il Garante essa è comunque raccomandata.
Il DPO nei gruppi imprenditoriali
Le f.a.q. precisano che, in forza di quanto previsto dal Regolamento sul GDPR, all'interno di un gruppo imprenditoriale il DPO può anche essere uno solo.
Tuttavia, a tal fine è indispensabile che tale soggetto sia facilmente raggiungibile da ogni stabilimento, sia in grado di comunicare con gli interessati in maniera efficace e riesca a collaborare con le autorità di controllo.
I requisiti richiesti al responsabile della protezione dei dati personali
Al responsabile della protezione dei dati personali sono richiesti specifici requisiti.
Sebbene infatti non siano necessarie né l'iscrizione in appositi albi né delle specifiche attestazioni formali, tale soggetto deve comunque conoscere in maniera approfondita sia la normativa e le prassi in materia di privacy, sia le norme e le procedure amministrative dello specifico settore di riferimento in maniera tale da offrire la propria consulenza con la professionalità adeguata alla complessità del compito che è chiamato a svolgere.
Al DPO vanno garantite, inoltre, le risorse necessarie per l'espletamento dei propri compiti e la possibilità di agire in piena indipendenza e autonomia.
Le incompatibilità del DPO
In generale, il ruolo di responsabile della protezione dei dati personali è perfettamente compatibile con lo svolgimento di altri incarichi, purché non vi sia conflitto di interessi.
Per il Garante, quindi, è meglio evitare di nominare DPO un soggetto con incarichi di alta direzione, o che operi nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento, mentre va valutata tenendo conto delle circostanze del caso concreto l'assegnazione dell'incarico ai responsabili delle funzioni di staff.
DPO: chi nominare e come
Operativamente, il DPO può essere scelto sia tra i dipendenti del titolare o del responsabile del trattamento, mediante specifico atto di designazione, sia tra soggetti esterni, mediante contratto di servizi. Nella prima ipotesi deve trattarsi necessariamente di una persona fisica (eventualmente supportata da un apposito ufficio), nella seconda ipotesi può trattarsi anche di una persona giuridica.
In ogni caso, nella nomina vanno indicati espressamente i compiti spettanti al responsabile della protezione dei dati personali, sia le risorse che gli sono assegnate, sia ogni altra informazione utile in rapporto al contesto di riferimento.
I dati di contatto del DPO (ma non necessariamente il suo nominativo) vanno poi pubblicati dal titolare o dal responsabile del trattamento. All'autorità di controllo, invece, vanno comunicati sia il nominativo sia i dati di contatto.
Scarica l'atto di designazione del responsabile della protezione dei dati
Scarica il modello di comunicazione al Garante del Rpd
Leggi anche Privacy: multe fino a 10 milioni di euro per chi non nomina il Dpo
• Foto: 123rf.com