Controllo, consultazione, informazione, formazione, cooperazione con il Garante: sono le funzioni del nuovo DPO (Data Protection Officer) o RPD, il Responsabile per la protezione dei dati personali che le imprese devono (o possono) nominare in base a quanto prescritto dal GDPR, il nuovo Regolamento europeo sulla Privacy in vigore anche in Italia dal 25 maggio, in sostituzione dell’attuale Codice Privacy.
Il Garante ha dunque predisposto un vademecum in forma di nuove FAQ ad uso delle aziende chiamate ad adeguarsi.
DPO – RPD
Il responsabile della protezione dei dati viene designato dal titolare o dal responsabile del trattamento. Il suo nominativo va comunicato al Garante, verso il quale costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Un gruppo imprenditoriale può designare un unico responsabile della protezione dei dati, purché sia raggiungibile da ciascuno stabilimento, ed essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Per ricoprire l’incarico non sono richiesti requisiti formali, ossia specifiche attestazioni o l’iscrizione in appositi albi: la persona individuata deve però possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Da valutare, infatti, l’eventuale assegnazione ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
Deve però essere in grado di fornire consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve agire in piena indipendenza e autonomia, riferendo direttamente ai vertici, e deve avere le risorse (personale, locali, attrezzature) per svolgere il proprio ruolo.
Il titolare della protezione dei dati può essere un dipendente oppure un soggetto esterno: nel primo caso, andrà nominato mediante specifico atto di designazione, mentre ne secondo caso verrà stipulato un contratto di servizi, in forma scritta, in forma scritta, indicando i compiti attribuiti, le risorse assegnate, e ogni altra utile informazione in rapporto al contesto di riferimento. Il suo nominativo va comunicato al garante Privacy utilizzando specifica modulistica (pubblicata sul sito).
Per evitare rischi di conflitto d’interesse è preferibile evitare si incaricare alti dirigenti (amministratore delegato, membro del consiglio di amministrazione, direttore generale) o con potere decisionale in ordine alle finalità e modalità del trattamento (direzione risorse umane, direzione marketing, finanziaria, responsabile IT).
Obblighi e casi particolari
Le imprese sono obbligate ad avere un responsabile dei dati privacy se appartengono a determinati settori: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici, società che erogano servizi televisivi a pagamento.
In ogni caso, tutte le società obbligate sono comprese nell’articolo 37, lettere b, c, del Regolamento UE 2016/679.
Nei casi diversi da quelli sopra elencati o previsti dalla norma, la designazione del responsabile dati non è obbligatoria. Ad esempio, non sono tenute all’adempimento le PMI per il semplice trattamento dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti, così come i professionisti, imprese individuali o familiari, agenti e rappresentanti. Il GDPR, in ogni caso, consiglia a tutte le imprese di designare il DPO.
