⦿ Ultim'ora

Legge & Diritto. RPD: Responsabile della Protezione dei Dati. Chi è?


A partire dal 25 maggio 2018 ha iniziato ad esplicare i propri effetti il Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (RGDP). L’ambito dei dati personali non deve considerarsi un mondo chiuso, ma è strettamente collegato ad altri settori del diritto


Ai sensi dell’art. 4 del RGDP è considerato «dato personale» “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In base al RGPD ed allo scopo di disciplinare il trattamento dei dati personali, al centro di questo nuovo quadro giuridico c’è il Responsabile della Protezione dei Dati (RPD o DPO: Data Protection Officer).

Il DPO o RPD è il soggetto che viene nominato dal titolare o dal responsabile del trattamento per svolgere una funzione di supporto e controllo sul trattamento dei dati personali all’interno dell’ente (e non solo delle aziende). È il “protettore” del dato personale ed ha il compito di verificare che quel dato venga trattato bene.

Per completezza espositiva, si ricorda che il «titolare del trattamento» è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Il «responsabile del trattamento» è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

In base all’art. 37, par. 1, RGPD, la nomina di un RPD (o DPO) è obbligatoria in tre casi specifici:
1) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
2) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
3) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Tuttavia, anche quando sulla base delle valutazioni compiute all’interno dell’azienda o dell’ente emerge che il RPD non debba essere nominato in via obbligatoria, nulla impedisce al titolare o al responsabile del trattamento di nominarlo su base volontaria. Anzi, il Garante incoraggia tale designazione, in quanto si tratta di una figura in grado di “facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese”. In questo caso troveranno applicazione tutti i requisiti di cui agli articoli 37-39 del Regolamento per quanto concerne la nomina stessa, lo status e i compiti del RPD esattamente come nel caso di una nomina obbligatoria.

La nomina di un RPD non è un requisito formale che il titolare o il responsabile del trattamento può facilmente eludere nominando un RPD di “facciata”, che non sia in possesso delle competenze e dell’esperienza necessaria a svolgere le sue funzioni; né va a favore dell’azienda o dell’ente che lo designa mettere il RPD nella condizione di non svolgere la sua funzione. Il RPD, anzi, ha un’attitudine proattiva nell’indicare soluzioni per operare in conformità ai principi della normativa europea in tema di trattamento dei dati personali.

I RPD non rispondono personalmente in caso di inosservanza del RGPD. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento dei dati personali degli interessati sono conformi alle norme del regolamento stesso (articolo 24, par. 1).

Il RPD o DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’articolo 39. L’art. 39 del GDPR enuclea le attività che spettano al RPD, prevedendo che questi si occupi di svolgere “almeno” i seguenti compiti:
1) informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento […];
2) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
4) cooperare con l’autorità di controllo;
5) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento […]
Il DPO, in sostanza, è una sorta di piccolo “garante” che svolge compiti di vigilanza e consulenza e favorisce l’attuazione dei principi del GDPR all’interno di una realtà aziendale o di un ente. E per questo motivo il titolare o il responsabile del trattamento devono fornirgli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere ed aggiornare la propria conoscenza specialistica (art. 38, par. 2 RGDP) e consentirgli di operare in autonomia.

Ad oggi non sono tenuti a nominare il RPD, a prescindere dall’attività svolta: i liberi professionisti che operano in forma individuale; gli agenti, i rappresentanti e i mediatori che non operano su larga scala; le imprese individuali o familiari, ecc.

La nomina tardiva o mancata dà luogo a conseguenze sia di natura civile che penale, con effetti anche irrimediabili sulla reputazione dell’ente. Inoltre, il titolare del trattamento può essere considerato colpevole sia qualora non abbia nominato il RPD, sia per la scelta della persona chiamata a volgere questo ruolo (culpa in eligendo).

Una volta nominato, il DPO resta fino al termine dell’incarico, salvo che si siano verificati fatti che ne impediscano la prosecuzione. Ciò può avvenire, ad esempio, nel caso di infedeltà, cioè nell’ipotesi in cui il RPD violi la segretezza delle informazioni e le diffonde o nel caso di conflitto di interessi, ecc.