logo

GDPR – Responsabile della protezione dei dati (RPD)


(art. 37, par. 7, RGPD e art. 28, c. 4 del D.Lgs. 51/2018).

 

 


Requisiti DPO/RPD (Data Protection Officer, Responsabile della protezione dei dati)
La persona designata ad essere responsabile della protezione dei dati, non deve avere specifiche attestazioni formali o iscrizione ad appositi albi. Ciò che deve avere è un’approfondita conoscenza della normativa e delle prassi, delle norme e delle procedure amministrative.
Deve essere in grado di offrire consulenza e professionalità, per poter consigliare al meglio il titolare del trattamento.
Come si evince dal considerando 97 del Regolamento, il DPO deve agire in piena indipendenza,senza ricevere istruzioni e riferendo direttamente ai vertici e deve poter disporre di risorse personali, locali, attrezzature e di ogni altro elemento che possa essere da espletamento per le funzioni che deve svolgere.

Chi sono i soggetti privati obbligati alla sua designazione
Sono obbligati alla designazione di questa figura professionale, coloro che rientrano nei casi previsti dall’art.37, par.1, lett.b) e c)


b)e attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c)le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’Art.9 o di dati relativi a condanne penali e a reati di cui all’Art.10

 

Quali sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati?
In casi diversi da quelli previsti non è obbligatoria tale figura, ad esempio per trattamenti di liberi professionisti, agenti, rappresentati e mediatori operanti su larga scala. Si faccia riferimento al considerando 97 del Regolamento che fa riferimento alle attività “accessoria”

C’è compatibilità con altri incarichi se si è responsabili della protezione
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

 

Per maggiori dettagli e informazioni:
https://www.garanteprivacy.it/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf

 

 

Comments are closed.