La figura del Responsabile della protezione dei dati (RPD) è stata introdotta dall’art. 37 del GDPR di cui al Regolamento (UE) 2016/679.
Il Responsabile della protezione dati nominato dal titolare del trattamento o dal responsabile de trattamento deve:
QUALI SONO I REQUISITI?
Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, deve:
1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze;
2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
IN QUALI CASI E’ PREVISTO?
Dovranno designare obbligatoriamente un RPD:
a) amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;
b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria.
Un gruppo di imprese o soggetti pubblici possono nominare un unico RPD.
QUALI SONO I COMPITI?
Il Responsabile della protezione dei dati deve, in particolare:
a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento .
Per un quadro completo: http://www.garanteprivacy.it/rpd