Privacy, pubblicate le nuove Faq sul Responsabile della Protezione dei Dati – RDP – in ambito privato


In aggiunta alle già fornite dal Garante in ambito pubblico

Dopo la pubblicazione delle Faq relative al Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO) in ambito pubblico, avvenuta lo scorso 15 dicembre, il Garante Privacy torna a pronunciarsi sul tema e, il 26 marzo 2018, fornisce nuove indicazioni sul ruolo del RPD/DPO, questa volta in ambito privato.

Sul sito www.garanteprivacy.it sono disponibili 8 Faq sul ruolo del Responsabile della Protezione dei Dati (RPD) in ambito privato, in vista dell’entrata in vigore del nuovo Regolamento (UE) 2016/679 sulla protezione dei dati personali, in vigore dal prossimo 25 maggio.

Nello specifico, le Faq sul ruolo del RDP in ambito privato sono le seguenti:

  1. Chi è il responsabile della protezione dei dati personali (RDP) e quali sono i suoi compiti?
  2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
  3. Chi sono i soggetti obbligati alla sua designazione?
  4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
  5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?
  6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
  7. Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
  8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

 

Il Garante illustra anzitutto la nuova figura, ovvero il “soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento”. Si precisano, poi, tra le altre, delucidazioni fondamentali relativamente al concetto di larga scala e ai soggetti obbligati alla nomina del RDP/DPO, stillando inoltre un elenco (esemplificativo ma non esaustivo) sia dei soggetti vincolati alla designazione, sia di coloro che non sono tenuti a tale adempimento:  sono obbligati a nominare un Responsabile della Protezione dei Dati tutti quei soggetti le cui attività consistono “in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala dei dati e in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati”. Tra questi rientrano le aziende assistite dai Consulenti del Lavoro e gli studi professionali.
L’Autorità non manca di ricordare che, in osservanza del principio dell’Accountability, è comunque raccomandata la nomina del Professionista, anche in assenza di disposizioni cogenti.

 

Sono inoltre forniti i requisiti che il Responsabile deve possedere: specifiche attestazioni formali o l’iscrizione ad appositi albi; un’approfondita conoscenza della normativa, delle prassi e del settore; l’indipendenza e l’autonomia necessarie a svolgere il suo ruolo con competenza.
L’RPD può essere un soggetto interno o esterno all’impresa, purché non in conflitto di interessi. Se interno, deve essere nominato mediante specifico atto di designazione; se scelto all’esterno, opera in base a un contratto di servizi.

Per consultare tutte le Faq e le relative risposte direttamente sul sito del Garante, cliccate qui.