GDPR: la figura del responsabile sulla protezione dei dati

Nella maggior parte delle aziende italiane, ormai, è presente un responsabile sulla protezione dei dati, che si occupa principalmente dell’osservanza delle linee guida del GDPR e si trova al centro di tutti i rapporti tra responsabili, titolari del trattamento ed utenti. In base a quanto previsto dal Regolamento Ue 2016/679, dalle Linee-guida dell’EDPB e dal Codice in materia di protezione dei dati personali (d.lgs. 196/2003), la figura del Responsabile dei Dati (DPO in inglese, acronimo di Data Protection Officer) ha dei tratti, dei requisiti, delle condizioni e dei compiti ben precisi. Vediamo insieme le caratteristiche secondo il GDPR della figura del responsabile sulla protezione dei dati. 

Quando viene nominato un RPD secondo il GDPR

Partendo dall’inizio, il Responsabile della Protezione dei Dati (RPD) è una figura nominata dal titolare o dal responsabile del trattamento in determinati casi; è obbligatoria la sua presenza, infatti: per tutte le amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni; per tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Oltre a questi casi obbligatori, esiste anche la possibilità di nominare un RPD per altri tipi di soggetti o aziende, su base volontaria. Infine, più imprese o soggetti pubblici insieme possono nominare un unico RPD collettivo.

Requisiti e funzioni del Responsabile per la Protezione dei Dati

Un Responsabile per la Protezione dei Dati, per essere nominato tale, deve possedere una serie di requisiti obbligatori secondo le linee guida del GDPR: innanzitutto, anche se non sono richieste attestazioni formali che lo dimostrino, deve essere ben informato della normativa e delle prassi di gestione dei dati personali, anche per quanto riguarda le misure tecniche, organizzative o atte a garantire la sicurezza dei dati; inoltre, non deve essere coinvolto da conflitti di interesse, deve agire in completa indipendenza e rispondere solo alla dipendenza del titolare o del responsabile del trattamento (oppure, nel caso di un RPD esterno, sulla base di un contratto di servizio). Parlando invece dei compiti di un RPD durante il suo lavoro, essi si racchiudono nelle seguenti funzioni principali: sorvegliare l’osservanza del regolamento, collaborare con il titolare/responsabile sulla valutazione di impatto sulla protezione dei dati, informare e sensibilizzare responsabile, titolare e dipendenti riguardo gli obblighi derivanti dal regolamento, cooperare con il Garante ed essere il punto di incontro per esso su ogni questione legata al trattamento ed, infine, supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali.