Il Responsabile della Protezione dei Dati (RDP) o Data Protection Officer (DPO), è la figura introdotta dal nuovo Regolamento UE 679/2016.
Il suo compito sarà quello di sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità (art.39 lett. b);
Il RPD dovrà inoltre:
supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta del registro delle attività di trattamento;
informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati (art.39 lett. a);
cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento (art.39 lett. d ed e);
collaborare con il titolare/responsabile nel condurre una valutazione di impatto sulla protezione dei dati (DPIA) (art. 39 lett. c);
Dovrà essere obbligatoriamente designato da
· amministrazioni ed enti pubblici (art. 37 lett. a) ;
· tutti i soggetti la cui attività principale consiste in trattamenti che, per natura, oggetto o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art.37 lett. b);
· tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (art.37. lett. c);
E’ ad ogni modo raccomandata la sua nomina anche da parte di titolari che trattano (relativamente a soggetti terzi):
· dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica
· dati relativi alla profilazione dell’interessato, per analizzare abitudini o scelte di consumo (p.e tessere d’acquisto)
IL DPO/RPD deve
· avere adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.(art. 37 par.5) ovvero non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, rappresenta titolo preferenziale l’esperienza maturata nella materia specifica (Newsletter Garante Privacy 15/09/17);
· adempiere alle sue funzioni in piena INDIPENDENZA, ovvero deve essere un soggetto che non decide sulle finalità o sugli strumenti del trattamento di dati personali (art.38 . 6); e che operain assenza di conflitti di interesse;
· operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio RPD/DPO esterno (art.37 par.6 ), ovvero potrà essere un dipendente o il consulente.
