• Normative
• 8 Maggio 2018

All’art. 37, il Regolamento Europeo 2016/679 del 27 aprile 2016 prescrive l’obbligo per il titolare del trattamento, nonché per il responsabile del trattamento di nominare un Responsabile della protezione di dati allorquando:

1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
   
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
   
3. le attività principali del titolare del trattamento e del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.
   

Il Responsabile della protezione dei dati non è una novità assoluta del Regolamento Europeo: alcuni Stati membri, già in passato, avevano ritenuto opportuno ricorrere a tale figura, anche se la direttiva 95/46/CE, in allora, non prevedeva alcun obbligo di nomina. D’altronde, il Gruppo di lavoro ex art. 29 ha da sempre sostenuto che si trattasse di una figura fondamentale ai fini del rispetto del principio di responsabilizzazione, oggi sancito dal Regolamento Europeo 2016/679, figura che certamente avrebbe altresì favorito l’osservanza della normativa sulla protezione dei dati.

In ogni caso, occorre evidenziare che il Responsabile per la protezione dei dati non risponde personalmente dell’inosservanza del Regolamento (UE) 2016/679: come infatti precisato dal Gruppo di lavoro ex art. 29 “l’onere di assicurare il rispetto della normativa di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento” i quali sono i soli soggetti che devono garantire e, conseguentemente, essere in grado di dimostrare che le operazioni di trattamento sono compliance con quanto prescritto dal legislatore europeo.

Il titolare del trattamento o il responsabile del trattamento dovranno quindi dapprima operare una attenta valutazione per stabilire se ricorrono oppure non ricorrono i presupposti che determinano la necessità di nomina del Responsabile per la protezione dei dati. Tale analisi andrebbe opportunamente documentata e periodicamente aggiornata, conformemente al principio di responsabilizzazione sancito dal Regolamento, principio a cui deve scrupolosamente attenersi sia il titolare del trattamento che il responsabile del trattamento.

In ogni caso, troveranno applicazione gli art. 37 – 39 del Regolamento che disciplinano la nomina del DPO – Data Protection Officer, lo status e i compiti del predetto soggetto, anche allorquando l’azienda scelga di procedere alla nomina del Responsabile per la protezione dei dati pur non ravvisandosi i casi specifici elencati dall’art. 37 sovra richiamato.

Il Responsabile della protezione dei dati personali deve essere designato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39”. A Tale soggetto non sono richieste specifiche attestazioni o l’iscrizione in appositi albi, ma, in ogni caso, dovrà possedere una approfondita conoscenza della normativa e delle pratiche consolidatesi in materia di privacy: come specificato nel considerando n. 97 “il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.

Inoltre i Responsabili per la protezione dei dati dovranno poter adempiere alle proprie funzioni e compiti in maniera totalmente indipendente, senza ricevere istruzioni e con la possibilità di riferire direttamente al titolare del trattamento e/o al responsabile del trattamento, nonché disporre di risorse necessarie per l’espletamento dei propri compiti.

Il Regolamento prevede espressamente che il Responsabile per la protezione dei dati possa essere “un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base ad un contratto di servizi”. Nelle realtà organizzative di medie e grandi dimensioni, dovrà essere individuato come persona fisica, la quale potrà a sua volta essere supportata da un team dotato delle competenze necessarie ai fini di assolvere i compiti previsti dal Regolamento. Nel caso di conferimento di incarico ad un soggetto esterno, occorre precisare che potrà trattarsi anche di persona giuridica.