Il Regolamento Europeo prevede una novità molto importante, l’obbligo a nominare il Responsabile della Protezione dei Dati (RPD) ovvero il Data Protection Officer (DPO).

Chi deve nominare il RPD/DPO?

Il RPD/DPO è un supervisore indipendente, il quale sarà designato obbligatoriamente, dalle pubbliche amministrazioni: “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

In campo privato, il RPD/DPO è obbligatorio se le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, per esempio in tale presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure localizzazione tramite app.

È obbligatorio anche per le attività che consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati, esempio ospedali, assicurazioni e istituti di credito

Quali saranno i compiti del RPD/DPO?

L’art. 39 del GDPR elenca le attività a carico del RPD/DPO, prevedendo che questi svolga “almeno” i seguenti compiti:

  1. Informare e fornire consulenza al titolare o al responsabile del trattamento
  2. Sorvegliare l’osservanza del RGPD
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento
  4. fungere da punto di contatto per l’autorità di controllo, per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Il RPD/DPO è un professionista, in possesso di un’adeguata competenza specialistica e un certo grado di esperienza sulla data protection.

Quali sono le garanzie che possono consentire al RPD/DPO di operare con indipendenza?

Vi sono numerose garanzie che possono consentire al RPD/DPO di operare in modo indipendente, come indicato al considerando 97 del regolamento:

  • non riceve istruzioni da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere penalizzato o rimosso dall’incarico in rapporto allo svolgimento dei compiti affidati al RPD/DPO;
  • non deve essere in conflitto di interessi con eventuali ulteriori compiti e funzioni.

Il RPD/DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT).