Il Responsabile della protezione dei dati – RPD – (in inglese DPO: Data Protection Officier) è una figura introdotta in Italia dal Regolamento (UE) 2016/679 in materia di trattamento dati personali e, dalle Linee-guida dell’EDPB. La nomina del DPO compete al Titolare o al Responsabile del trattamento.
RPD/DPO: chi è?
Il Responsabile della protezione dei dati possiede un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non ha bisogno di titoli formali o dell’iscrizione ad un albo, anche se la partecipazione a master e corsi di studi può rappresentare una garanzia per chi lo nomina.
Il DPO adempie alle sue funzioni in piena autonomia e in assenza di conflitti di interesse, pertanto non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento dei dati personali.
Il DPO opera alle dipendenze del Titolare o del Responsabile del trattamento o sulla base di un contratto di servizio (RPD/DPO esterno). Il Titolare o il Responsabile del trattamento devono mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziare necessarie all’adempimento dei suoi compiti. Il Regolamento chiarisce che l’incarico può essere assegnato anche ad un dipendente, purché sia nelle condizioni di poter svolgere il proprio compito senza che vi siano condizionamenti da parte dei superiori o della proprietà, abbia competenze adeguate e mantenga aggiornate le proprie conoscenze in materia.
RPD/DPO: quando serve?
Il Responsabile della protezione dei dati è obbligatorio per:
- amministrazioni, enti pubblici e autorità giudiziarie;
- per tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala;
- tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati genetici, giudiziari, biometrici, relativi alla salute o alla vita sessuale.
Qualora non sussista l’obbligo, il DPO può essere nominato su base volontaria.
RPD/DPO: cosa fa?
I compiti principali del Responsabile della protezione dei dati sono:
- Sorveglianza circa il rispetto del Regolamento
Il DPO deve sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità - Collaborazione
Con il Titolare o il Responsabile del trattamento, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) - Informazione e sensibilizzazione
Rivolta a Titolare o Responsabile del trattamento e ai loro dipendenti, riguardo gli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati - Cooperazione con l’autorità di controllo
Il DPO funge da punto di contatto per il Garante su ogni questione connessa al trattamento - Supporto
Del Titolare o Responsabile del trattamento in ogni attività connessa al trattamento di dati personali, anche relativamente alla tenuta di un registro delle attività di trattamento.
Studio Bia
Scopri il servizio DPO offerto da Studio Bia!
Fonte: Il Responsabile della protezione dei dati: scheda informativa del Garante