Responsabile protezione dati personaliIl Garante per la protezione dei dati personali ha pubblicato sul proprio sito Internet una serie di frequently asked questions (faq) in merito alla figura del Responsabile della protezione dei dati personali (RPD o DPO, secondo la sigla inglese). Il regolamento dell’Unione europea 2016/679 introduce nuove disposizioni e adempimenti in materia di protezione della privacy, tra i quali proprio l’RPD.
L’Autorità spiega innanzitutto quali sono i compiti della nuova figura: «Il responsabile della protezione dei dati personali è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali». Vengono quindi indicati i requisiti che deve possedere l’RPD: «Non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi», ma «deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento». Inoltre, «deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Deve poter disporre, infine, di risorse necessarie per l’espletamento dei propri compiti». Il Garante ricorda poi che «sono tenuti alla designazione del responsabile della protezione dei dati personali i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati» (in questo senso, vengono citate, tra le altre, le «società operanti nel settore della cura della salute», ma non le farmacie). Nelle FAQ viene poi specificato che il ruolo «può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti». In alternativa, «l’incarico può essere anche affidato a soggetti esterni». In ogni caso, secondo il Garante «appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.)».

© Riproduzione riservata