Responsabile della Protezione dei Dati (RPD/DPO), figura cardine del sistema di accountability del GDPR.
La designazione del RPD è obbligatoria per il Titolare o il Responsabile del trattamento in tre casi specifici, indipendentemente dalle dimensioni dell’organizzazione:
- Autorità od organismo pubblico (con eccezioni per le autorità giurisdizionali).
- Attività principali che consistono in operazioni di trattamento che, per loro natura, ambito e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (es., profilazione per marketing, localizzazione tramite app, tracciamento online).
- Attività principali che consistono nel trattamento su larga scala di categorie particolari di dati (ex Art. 9, come dati sanitari) o di dati relativi a condanne penali e reati (ex Art. 10).
La nozione di “attività principale” si riferisce al *core business* dell’organizzazione. La designazione è fortemente raccomandata anche per le PMI non obbligate, quale best practice di governance.
Requisiti Professionali e Caratteristiche Personali
Il GDPR non prescrive un background professionale specifico (es., giuridico o informatico), ma richiede competenze sostanziali in materia di diritto e prassi in protezione dei dati, commisurate alla complessità del trattamento effettuato.
Le caratteristiche personali sono altrettanto cruciali. Il RPD deve possedere:
- Integrità ed etica professionale: Affidabilità, discrezione e coscienziosità.
- Indipendenza di giudizio: Capacità di esprimere pareri e raccomandazioni in modo obiettivo.
- Capacità di comunicazione e leadership: Abilità nell’interagire efficacemente con gli interessati, i dipendenti, l’Alta Direzione e l’Autorità di controllo.
Posizione e Risorse
Il RPD deve operare in piena indipendenza, senza ricevere istruzioni sull’esito delle sue valutazioni. Deve riferire direttamente al più alto livello dirigenziale per garantire che le sue indicazioni ricevano la necessaria considerazione.
L’organizzazione è tenuta a fornire al RPD risorse adeguate per svolgere i propri compiti:
- Supporto attivo della direzione.
- Tempo sufficiente e risorse finanziarie (attrezzature, strumenti).
- Accesso a tutti i servizi, processi e dati aziendali.
- Formazione continua per mantenere aggiornate le competenze.
Obblighi e Compiti Principali
I compiti del RPD, delineati dall’articolo 39, sono di monitoraggio, consulenza e coordinamento:
- Informare e consigliare il Titolare/Responsabile e i dipendenti sugli obblighi derivanti dal GDPR.
- Monitorare la conformità al GDPR e alle policy interne sulla protezione dei dati.
- Fornire parere consultivo in merito alla Valutazione d’Impatto (DPIA) e monitorarne lo svolgimento.
- Cooperare con l’Autorità di controllo e fungere da punto di contatto.
- Verificare la correttezza delle informative e delle procedure per l’esercizio dei diritti degli interessati.
È fondamentale sottolineare che la responsabilità ultima della conformità rimane in capo al Titolare del trattamento.
Il RPD fornisce supporto e consulenza, ma non assume la responsabilità diretta in caso di violazioni.
Assenza di Conflitti di Interesse
La posizione del RPD è incompatibile con ruoli che determinano le finalità e i mezzi del trattamento. Pertanto, non può ricoprire posizioni dirigenziali di alto livello (es., Amministratore Delegato, Direttore Generale, Direttori di funzione come Risorse Umane, Marketing, IT o Finanza) che implicano decisioni operative sui trattamenti. Un RPD esterno non può essere fornitore di servizi (es., consulente IT) che lo pongano in conflitto con il suo ruolo di controllo.
Comunicazione e Pubblicità
Il Titolare del trattamento deve:
Comunicare i dati di contatto del RPD all’Autorità di controllo (Garante privacy).
Rendere pubblici i dati di contatto del RPD (es., sul sito web aziendale) per garantire che interessati, dipendenti e Autorità di controllo possano facilmente raggiungerlo.
