Il Responsabile della Protezione dei Dati (RPD o DPO)

Una delle funzioni più interessanti introdotte nel panorama giuridico italiano dal Regolamento Europeo n. 679/2016, è quella del Responsabile della Protezione dei Dati, da non confondere con il Responsabile del Trattamento dei Dati. Tale figura viene generalmente indicata mediante l’utilizzo dell’acronimo DPO (Data Protection Officer).

Nomina del DPO

L’art. 37 del GDPR impone la nomina del DPO a fronte di tre ipotesi ben definite:

  1. Autorità o organismi pubblici che svolgano attività di trattamento.
  2. Trattamento regolare e sistematico di interessati su larga scala che costituisca una delle attività principali del titolare o del responsabile.
  3. Trattamento su larga scala, sempre con riferimento alle attività principali, di categorie particolari di dati personali (ex dati “sensibili”) o di dati relativi a condanne penali e reati.

Le ipotesi

Sulla base di quanto dettagliatamente evidenziato nel 2017 dal Comitato Europeo per la protezione dei dati (che allora si chiamava Gruppo di lavoro “articolo 29”), ossia l’organismo europeo costituito dal Garante Europeo, da un rappresentante dell’autorità nazionale garante dei singoli Paesi e da un membro della Commissione (https://ec.europa.eu/newsroom/document.cfm?doc_id=44100), possiamo specificare che:

  • per autorità si fa riferimento generalmente a enti pubblici;
  • con trattamento regolare e sistematico si intende il trattamento praticato con regolarità e attraverso specifiche metodologie, nel contesto di un trattamento complessivo di molte informazioni con un fine determinato. Rientrano in tale tipologia i trattamenti per la prestazione dei servizi di telecomunicazioni, quelli di profilazione e scoring per il rischio assicurativo e finanziario, i trattamenti di profilazione comportamentale, il monitoraggio di informazioni relative alla salute, l’utilizzo di telecamere a circuito chiuso, ecc;
  • larga scala è un termine che richiama ampie dimensioni e valori, sia per la quantità e il volume delle informazioni trattate, sia per la durata e l’ampiezza geografica del trattamento. Si pensi ai servizi di trasporto pubblico, ai trattamenti di dati con geolocalizzazione, ai trattamenti effettuati dalle compagnie assicurative e dalle istituzioni finanziarie, ai trattamenti dei motori di ricerca, ecc;
  • con attività principali si intendono generalmente quelle senza le quali il Titolare o il Responsabile non potrebbero, di fatto, portare a compimento i propri scopi istituzionali. Una struttura sanitaria, ad esempio, non potrebbe portare a termine i propri scopi senza trattare dati di carattere particolare (ex dati sensibili).

I compiti

Rientrano tra le attività del Responsabile della Protezione dei dati, ai sensi dell’art. 39:

  • la consulenza al Titolare o al Responsabile e ai relativi lavoratori, collaboratori e dipendenti;
  • la cura, per conto del Titolare o del Responsabile, di tutto il processo di sensibilizzazione e attuazione necessario per l’adeguamento alle norme in materia di protezione dei dati (che rimangono obbligo e incombenza del Titolare o del Responsabile);
  • eventuali pareri su questioni specifiche;
  • collegamento con l’autorità Garante.

La figura del Responsabile della Protezione dei dati può essere individuata sia all’interno, sia all’esterno dell’organizzazione del Titolare o del Responsabile, purché il loro rapporto sia il risultato di un’apposita e specifica contrattazione.

Le attività di trattamento di dati effettuate nell’ambito della amministrazione condominiale, non sembrano richiedere l’individuazione e la nomina di una tale figura (salva la presenza delle condizioni previste dalla norma).

Come sempre, però, il principio di accountability richiede un attento esame di ogni singola fattispecie, per far sì che ciascuna realtà si doti di quanto più adeguato alla luce delle prescrizioni in vigore.

Avv. Andrea Broglia

2019-06-10T19:42:08+02:0010.06.2019|