Ruolo e requisiti del responsabile del trattamento dei dati personali

Il Responsabile della Protezione dei Dati (RPD), noto anche come Data Protection Officer (DPO), è una figura istituita dall’articolo 37 del Regolamento (UE) 2016/679 (GDPR), che regolamenta a livello europeo la tutela della privacy.

La designazione del DPO avviene da parte del titolare o del responsabile del trattamento al fine di assolvere a compiti di supporto, controllo, consulenza, formazione e informazione in relazione all’applicazione delle normative sulla protezione dei dati personali (GDPR e Codice Privacy).

Il DPO o RPD deve essere coinvolto “tempestivamente e adeguatamente” in tutte le questioni concernenti la protezione dei dati personali, inclusi gli aspetti relativi alle interazioni con l’autorità Garante Privacy, come audizioni, accertamenti ispettivi o riunioni di vario genere (art. 38, par. 1 del GDPR).

Conformemente alle disposizioni normative, il DPO collabora con il Garante Privacy e funge da punto di contatto tra quest’ultimo, il titolare del trattamento e gli interessati in tutte le questioni legate al trattamento dei dati personali (artt. 38 e 39 del GDPR).

Chi è responsabile della nomina del DPO? Il titolare o il responsabile del trattamento è tenuto a designare il DPO o RPD nei casi contemplati dall’articolo 37, par. 1, lettere b) e c) del GDPR, ossia quando:

• Il trattamento è effettuato da un’autorità pubblica o un organismo pubblico, con l’eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.
• Le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
• Le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e reati di cui all’articolo 10.

La nomina del DPO avviene in base alle sue qualità professionali, in particolare alla sua competenza specialistica nelle normative e nelle pratiche sulla protezione dei dati.

Il DPO può essere un dipendente del titolare o del responsabile del trattamento o svolgere le sue mansioni in virtù di un contratto di servizi.

Al momento della nomina del DPO, il titolare o il responsabile del trattamento è tenuto a divulgare ai interessati i dati di contatto del Responsabile della Protezione dei Dati e a comunicarli al Garante Privacy attraverso la procedura telematica stabilita.

Responsabile del trattamento dati

Il Responsabile del trattamento dati è identificato come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“.

Questa figura è tipicamente rappresentata da un terzo soggetto esterno all’azienda.

Tuttavia, nel contesto di gruppi di imprese, è possibile che un’impresa agisca in qualità di responsabile del trattamento per conto di un’altra impresa.

L’articolo 28 del Regolamento UE 2016/679 (GDPR) stabilisce i requisiti che i responsabili del trattamento devono soddisfare per assumere tale incarico.

Quando il titolare del trattamento affida un’attività di trattamento, può farlo solo attraverso responsabili del trattamento che offrano garanzie adeguate per implementare misure tecniche e organizzative idonee, affinché il trattamento rispetti i requisiti del GDPR e assicuri la tutela dei diritti degli interessati.

Non è vietato che un Responsabile del Trattamento possa a sua volta delegare parte del trattamento ad un altro soggetto, previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Il titolare del trattamento ha sempre la facoltà di opporsi a eventuali modifiche proposte riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento.

Gli obblighi del Responsabile del Trattamento nei confronti del titolare del trattamento devono essere dettagliati in un contratto o in un altro atto giuridico.

Tale accordo deve definire, tra l’altro, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento. Inoltre, il contratto specifica i vincoli a cui il responsabile del trattamento deve attenersi, come ad esempio:

a) trattare i dati personali solo su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale;
b) garantire che le persone autorizzate al trattamento dei dati personali si impegnino alla riservatezza;
c) adottare tutte le misure di sicurezza per il trattamento (art. 32 del GDPR);
e) assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile;
g) cancellare o restituire al titolare del trattamento tutti i dati personali dopo la conclusione della prestazione dei servizi.

Un esempio concreto di Responsabile del Trattamento è una società che, per conto di un’azienda, fornisce e gestisce il sistema informatico che archivia i dati dei dipendenti.

Allo stesso modo, la società che elabora le buste paga dei dipendenti di un’azienda è considerata responsabile del trattamento.