GDPR PRIVACY : chi sono i responsabili del trattamento dei dati personali

Il nuovo Regolamento Europeo 679/2016  entrato in vigore in Italia lo scorso 25 maggio 2018, ha introdotto le figure di Responsabile del Trattamento dei Dati Personali ed il Responsabile della Protezione dei Dati. In cosa differiscono queste due figure? 

Secondo quanto specificato all’art. 4  del Regolamento 679/2016 , il Responsabile del Trattamento è ” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Tale figura, operando per conto del titolare del trattamento dovrà  presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative in modo tale che il trattamento soddisfi i requisiti richiesti dal regolamento e garantisca la tutela dei diritti dell’interessato.

Il titolare, una volta individuata tale figura, all’interno o all’esterno della sua struttura, questa viene nominata dal titolare stesso attraverso un atto scritto,  contratto o altro atto pubblico, dove viene indicata la durata di tale nomina, la natura, la finalità del trattamento, il tipo di dati personali e le categorie  di interessati, gli obblighi e i diritti del titolare del trattamento.

Il Responsabile della Protezione dei Dati , definito anche RPD o DPO , nominato dal Titolare e dal Responsabile del trattamento, è una figura esperta nella protezione dei dati, che supporta il titolare e funge da interfaccia con gli organi di controllo.
Compiti del RPD , secondo quanto stabilito dall’art.39 del Regolamento,  oltre ad informare e fornire consulenza al titolare , al responsabile del trattamento dati nonchè ai dipendenti che seguono il trattamento, è anche quello di sorvegliare l’osservanza del presente Regolamento e di altre disposizioni dell’UE relativamente alla protezione dei dati personali, compreso l’attribuzione delle responsabilità, la formazione del personale, fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento.

Il ruolo di RPD, può essere assunto tanto da un dipendente del titolare o da un soggetto esterno attraverso un contratto di servizi, ma in entrambi i casi, la sua nomina dovrà essere resa pubblica e comunicata agli organi di controllo con atto formale.
A tal proposito , sul sito del Garante è disponibile un modulo per la comunicazione del nominativo del RPD/DPO .

La figura del Responsabile Protezione dei Dati è per tutti obbligatoria?

La nomina del RPD/DPO non è sempre obbligatoria. Come indicato nell’art. 37 del Regolamento, la figura del RDP diventa sistematica nei casi di trattamento effettuato da Pubblica Autorità o Organismo Pubblico, nel caso il Titolare effettui trattamenti che richiedono monitoraggi regolari e  sistematici tratti su larga scala  e per categorie particolari  di dati personali ( art. 9 e 10 del UE 679/2016) .
In considerazione di tali presupposti, sono tenuti alla nomina del RPD , a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.