Privacy – Il Responsabile della protezione dei dati

La normativa di riferimento della privacy nell’ordinamento italiano è il decreto legislativo n. 196 del 2003, c.d. Codice della Privacy, così come profondamente riformato dal decreto legislativo n. 101 del 2018, che è stato adottato a seguito dell’entrata in vigore del Regolamento generale sulla protezione dei dati personali (GDPR in inglese, versione più usata o RPGD in italiano) n. 679 del 2016. (da ora in poi Regolamento o GDPR). Il GDPR è un regolamento europeo e quindi deve essere direttamente applicato da tutti gli Stati membri dell’Unione europea.
Tale Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati[1].
Tra i soggetti coinvolti nel processo di gestione dei dati personali e, in particolare, nel loro trattamento, vi è il Responsabile della protezione dei dati personali (RPD). A tale responsabile è stato assegnato un ruolo strategico dal legislatore europeo con il  Regolamento Europeo del 27 aprile 2016, n. 679 che ha previsto questa nuova figura giuridica anche per il nostro ordinamento. In particolare, il Responsabile della protezione dei dati personali, o anche Data protection officer (DPO), è un soggetto fondamentale nel sistema della privacy così come delineato dal legislatore europeo[2].

Indice

1. La designazione del Responsabile della protezione dei dati

Secondo le disposizioni del regolamento europeo e, in particolare, dell’articolo 37, la designazione di un responsabile della protezione dei dati non è sempre obbligatoria. Difatti, il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
1) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, c.d. categorie particolari di dati personali, o di dati relativi a condanne penali e a reati di cui all’articolo 10, c.d. condanne penali e reati.
Con riferimento al primo punto, per “autorità pubblica” o “organismo di diritto pubblico”, si deve fare riferimento a tutti i soggetti che sono tenuti all’applicazione di regole generali per i trattamenti effettuati dai soggetti pubblici[3] contenute nella versione del nostro Codice della privacy, nonché ai privati che esercitano funzioni pubbliche. Il Garante della privacy ha, inoltre, precisato altri soggetti obbligati alla designazione del RPD.
Per quanto riguarda, invece, i punti 2 e 3, in entrambi i casi viene richiamato il trattamento dei dati su “larga scala”, per il quale concetto solo il considerando n. 91 ci fornisce un’indicazione di questo tipo di trattamento, che va inteso come “trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”.
Da un versante soggettivo della figura, il Responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure un consulente esterno che assolve i suoi compiti in base ad un contratto di servizi. Una volta che si è proceduto alla designazione dell’RPD, i suoi dati di contatto sono pubblicati e comunicati all’autorità di controllo dal titolare del trattamento o dal responsabile del trattamento.
Potrebbero interessarti anche:

2. La funzione del Responsabile della protezione dei dati

La designazione del RPD viene effettuata dal titolare del trattamento e dal responsabile del trattamento in relazione alle qualità professionali e alla conoscenza della normativa del soggetto da nominare. In particolare, si tratta di una figura autonoma e indipendente e, pertanto, non riceve istruzioni sui propri compiti. Difatti, tale indipendenza si evince anche dal primo comma dell’articolo 38 del GDPR, ove si indica che “il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Al RPD devono essere garantite, inoltre, “le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”, nonché non può essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Anche la circostanza relativa al riferire direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento di ciò che riguardano le proprie funzioni e i propri compiti rafforza la natura giuridica del RPD e ne confermano la sua ampia autonomia.

3. I compiti del RPD

L’articolo 39 del GDPR *individua i compiti del Responsabile della protezione dei dati e, in particolare, tale figura deve essere incaricato per almeno i compiti di seguito indicati:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Pertanto, si evince l’importanza di tale figura anche dai compiti precedentemente indicati che hanno la natura dell’obbligatorietà. Difatti, con riferimento al punto a) si individua anche la necessità di avere una figura di elevata professionalità nel campo del trattamento dei dati personali, tale da poter fornire una “consulenza” adeguata. Al punto b), si conferisce l’arduo compito di sorveglianza relativamente al rispetto della normativa sul trattamento dei dati personali. Fondamentale anche la previsione delle lettere d) ed e), che accentuano come l’RPD sia una figura di raccordo con l’autorità e, pertanto, di fondamentale importanza per il funzionamento dell’intero sistema, ove la sua nomina sia obbligatoria.

>>>Per approfondire<<<
Il volume raccoglie in un unico corpus il testo delle normative sulla privacy, permettendo un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della nuova disciplina.

FORMATO CARTACEO

Privacy. Normativa essenziale

Con il D.Lgs. n. 101/2018 – in vigore dal 19 settembre 2018 – è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation.Importanti sono anche le novità intervenute grazie a due recenti Decreti attuativi delle Direttive UE, in tema di trattamento dei dati per finalità di prevenzione e repressione di reati (D.Lgs. 18 maggio 2018, n. 51) e di sicurezza delle reti e dei sistemi informativi (D.Lgs. 18 maggio 2018, n. 65).Il volume raccoglie in un unico corpus il testo delle predette normative, permettendo un’agevole consultazione dei riferimenti legislativi più aggiornati, indispensabili per professionisti, imprese, enti e – in generale – per tutti i soggetti, pubblici e privati, coinvolti nell’attuazione pratica della nuova disciplina.

Redazione | Maggioli Editore 2018

  1. [1]

    Articolo 1, comma 1, del GDRP 2016/679.

  2. [2]

    Pellegrino A., Privacy: i diritti dell’interessato, www.diritto.it, 2022.

  3. [3]

    Comprese le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo del 30 marzo 2001 n. 165.

Armando Pellegrino

Scrivi un commento

Accedi per poter inserire un commento