Forniti chiarimenti dal Garante della privacy sul responsabile della protezione dei dati personali (RPD o DPO-Data protector officer). Come si legge nel FAQ pubblicate il 26 marzo 2018, l’RPD è un soggetto designato dal titolare/responsabile del trattamento per “assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo”.
Nello svolgimento dei propri compiti, tale soggetto deve poter disporre di risorse personali, locali, attrezzature ecc necessarie per l’espletamento dei propri compiti, ed è possibile per un gruppo imprenditoriale designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.
In merito ai requisiti che l'RPD deve possedere è stato precisato che non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, essendo sufficiente che tale soggetto abbia un'approfondita conoscenza della normativa e delle prassi in materia di privacy. Attenzione però, deve agire in piena indipendenza e autonomia, riferendo direttamente ai vertici. Per tali motivi e per evitare l’insorgere di conflitti di interesse, è meglio evitare di assegnare il ruolo di “responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (Ad, membro del CDA, Direttore generale).
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto:
- da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti;
- da un soggetto esterno.
Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente
- i compiti attribuiti,
- le risorse assegnate per il loro svolgimento,
- ra utile informazione in rapporto al contesto di riferimento.
Non tutti i soggetti privati sono tenuti a nominare l'RPD. Nella tabella che segue, ecco un elenco esemplificativo e non esaustivo dei soggetti che devono averlo.
Soggetti obbligati | Soggetti non obbligati |
istituti di credito | liberi professionisti operanti in forma individuale |
imprese assicurative | agenti, rappresentanti e mediatori operanti non su larga scala |
sistemi di informazione creditizia | imprese individuali o familiari |
società finanziarie | piccole e medie imprese |
società di informazioni commerciali | |
società di revisione contabile | |
società di recupero crediti | |
istituti di vigilanza | |
partiti e movimenti politici | |
sindacati | |
caf e patronati | |
società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas) | |
imprese di somministrazione di lavoro e ricerca del personale | |
società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione | |
società di call center | |
società che forniscono servizi informatici | |
società che erogano servizi televisivi a pagamento |