Privacy

Privacy 2018: il responsabile della protezione dei dati per i privati

Forniti chiarimenti dal Garante della privacy sul responsabile della protezione dei dati personali (RPD o DPO-Data protector officer). Come si legge nel FAQ pubblicate il 26 marzo 2018, l’RPD è un soggetto designato dal titolare/responsabile del trattamento per “assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo”.

Nello svolgimento dei propri compiti, tale soggetto deve poter disporre di risorse personali, locali, attrezzature ecc necessarie per l’espletamento dei propri compiti, ed è possibile per un gruppo imprenditoriale designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.

In merito ai requisiti che l'RPD deve possedere è stato precisato che non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, essendo sufficiente che tale soggetto abbia un'approfondita conoscenza della normativa e delle prassi in materia di privacy. Attenzione però, deve agire in piena indipendenza e autonomia, riferendo direttamente ai vertici. Per tali motivi e per evitare l’insorgere di conflitti di interesse, è meglio evitare di assegnare il ruolo di “responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (Ad, membro del CDA, Direttore generale).

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto:

  • da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti;
  • da un soggetto esterno.

Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente

  • i compiti attribuiti,
  • le risorse assegnate per il loro svolgimento,
  • ra utile informazione in rapporto al contesto di riferimento. 

Non tutti i soggetti privati sono tenuti a nominare l'RPD. Nella tabella che segue, ecco un elenco esemplificativo e non esaustivo dei soggetti che devono averlo.

Soggetti obbligati Soggetti non obbligati
istituti di credito liberi professionisti operanti in forma individuale
imprese assicurative agenti, rappresentanti e mediatori operanti non su larga scala
sistemi di informazione creditizia imprese individuali o familiari
società finanziarie piccole e medie imprese
società di informazioni commerciali  
società di revisione contabile  
società di recupero crediti  
istituti di vigilanza  
partiti e movimenti politici  
sindacati  
caf e patronati  
società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas)  
imprese di somministrazione di lavoro e ricerca del personale  
società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione  
società di call center  
società che forniscono servizi informatici  
società che erogano servizi televisivi a pagamento  

 

Allegati: