Nellaย Newsletter n. 432 del 15 settembre 2017ย il Garante per la protezione dei dati personali fornisce le prime indicazioni, utili a pubbliche amministrazioni e a soggetti privati, per scegliere ilย Responsabile della protezione dei dati personali (RPD).
Linee-guida sui responsabili della protezione dei dati (RPD)
1
Adottate il 13 dicembre 2016
Versione emendata e adottata in data 5 aprile 2017
1 Comunemente noti con lโacronimo inglese di โDPOโ, ossia Data Protection Officers
GRUPPO DI LAVORO ARTICOLO 29
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Traduzione a cura del Garante per la protezione dei dati personali – Unitร Documentazione Internazionale e Revisione UE
2
INDICE
1. Introduzione
2. Nomina di un RPD
2.1. Nomina obbligatoria
2.1.1 โAutoritร pubblica o organismo pubblicoโ
2.1.2 โAttivitร principaliโ
2.1.3 โLarga scalaโ
2.1.4 โMonitoraggio regolare e sistematicoโ
2.1.5 Categorie particolari di dati e dati relativi a condanne penali e a reati
2.2. RPD del responsabile del trattamento
2.3. Designazione di un unico RPD per piรน organismi
2.4. Accessibilitร e localizzazione del RPD
2.5. Conoscenze e competenze del RPD
2.6. Pubblicazione e comunicazione dei dati di contatto del RPD
3. Posizione del RPD
3.1. Coinvolgimento del RPD in tutte le questioni riguardanti la protezione dei dati
personali
3.2. Risorse necessarie
3.3. Istruzioni e โ [significato di] โadempiere alle funzioni e ai compiti loro incombenti in
maniera indipendenteโ
3.4. Rimozione o penalizzazioni in rapporto allโadempimento dei compiti di RPD
3.5. Conflitto di interessi
4. Compiti del RPD
4.1. Sorvegliare lโosservanza del RGPD
4.2. Il ruolo del RPD nella valutazione di impatto sulla protezione dei dati
4.3. Cooperazione con lโautoritร di controllo e funzione di punto di contatto
4.4. Approccio basato sul rischio
4.5. Il ruolo del RPD nella tenuta del registro delle attivitร di trattamento
5. Allegato alle linee-guida sul RPD โ Indicazioni essenziali
3
IL GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON
RIGUARDO AL TRATTAMENTO DI DATI PERSONALI
istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995,
visti gli Articoli 29 e 30 della stessa,
visto il proprio regolamento,
HA ADOTTATO LE PRESENTI LINEE-GUIDA:
I. Introduzione
Il regolamento generale sulla protezione dei dati (RGPD)1
, che esplicherร i propri effetti a
partire dal 25 maggio 2018, offre un quadro di riferimento in termini di compliance per la
protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione
(accountability). I responsabili della protezione dei dati (RPD) saranno al centro di questo
nuovo quadro giuridico in molti ambiti, e saranno chiamati a facilitare lโosservanza delle
disposizioni del RGPD.
In base al RGPD, alcuni titolari e responsabili del trattamento sono tenuti a nominare un RPD
in via obbligatoria.2 Ciรฒ vale per tutte le autoritร pubbliche e tutti i soggetti pubblici,
indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attivitร
principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero
trattino su larga scala categorie particolari di dati personali (dati sensibili).
Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, puรฒ
risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro โarticolo
29โ (WP29) incoraggia gli approcci di questo genere.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
1 Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali, nonchรฉ alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119, 4.5.2016). Il
RGPD รจ rilevante ai fini del SEE e sarร applicabile una volta incorporato nellโAccordo relativo al SEE.
2 La nomina di un RPD รจ obbligatoria anche con riguardo alle autoritร competenti di cui allโart. 32 della direttiva
(UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle autoritร competenti ai fini di prevenzione,
indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonchรฉ alla libera circolazione
di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119, 4.5.2016), alla luce della
normativa nazionale di recepimento. Le presenti linee-guida guardano con particolare attenzione alla figura del
RPD come prevista dal RGPD, ma le indicazioni in esse formulate valgono anche per i RPD previsti dalla
direttiva 2016/680 con riferimento alle disposizioni di carattere analogo contenute nei due strumenti.
4
La figura del RPD non costituisce una novitร assoluta. La direttiva 95/46/CE3 non prevedeva
alcun obbligo di nomina di un RPD, ma in molti Stati membri questa รจ divenuta una prassi nel
corso degli anni.
Ancor prima dellโadozione del RGPD, il WP29 ha sostenuto che questa figura rappresenti un
elemento fondante ai fini della responsabilizzazione, e che la nomina del RPD possa facilitare
lโosservanza della normativa e aumentare il margine competitivo delle imprese.4 Oltre a
favorire lโosservanza attraverso strumenti di accountability (per esempio, supportando
valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i
RPD fungono da interfaccia fra i soggetti coinvolti: autoritร di controllo, interessati, divisioni
operative allโinterno di unโazienda o di un ente.
I RPD non rispondono personalmente in caso di inosservanza del RGPD. Questโultimo
chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di
dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento
stesso (articolo 24, primo paragrafo). Lโonere di assicurare il rispetto della normativa in
materia di protezione dei dati ricade sul titolare o sul responsabile.
Inoltre, al titolare o al responsabile del trattamento spetta il compito fondamentale di
consentire lo svolgimento efficace dei compiti cui il RPD รจ preposto. La nomina di un RPD รจ
solo il primo passo, perchรฉ il RPD deve disporre anche di autonomia e risorse sufficienti a
svolgere in modo efficace i compiti cui รจ chiamato.
Il RGPD riconosce nel RPD uno degli elementi-chiave allโinterno del nuovo sistema di
governance dei dati, e prevede una serie di condizioni in rapporto alla nomina, allo status e ai
compiti specifici. Le presenti linee-guida intendono fare chiarezza sulle pertinenti disposizioni
del regolamento al fine di favorire lโosservanza della normativa da parte di titolari e
responsabili del trattamento; inoltre, le linee-guida vogliono essere di ausilio ai RPD
nellโesecuzione dei compiti loro attribuiti. Il presente documento contiene anche alcune
raccomandazioni, in termini di migliori prassi, che scaturiscono dallโesperienza accumulata in
alcuni Stati membri. Il WP29 monitorerร lโattuazione delle linee-guida qui presentate e
provvederร alle integrazioni che si riveleranno opportune.
2. Nomina di un RPD
2.1. Nomina obbligatoria
In base allโarticolo 37, primo paragrafo, del RGPD, la nomina di un RPD รจ obbligatoria in tre
casi specifici:5
3 Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle
persone fisiche con riguardo al trattamento dei dati personali nonchรฉ alla libera circolazione di tali dati (GU L
281, 23.11.95). 4 Si veda http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2015/20150617_appendix_core_issues_plenary_en.pdf
5 Si osservi che, in base allโart. 37, quarto paragrafo, il diritto dellโUnione o dello Stato membro puรฒ prevedere
casi ulteriori di nomina obbligatoria di un RPD.
5
a) se il trattamento รจ svolto da unโautoritร pubblica o da un organismo pubblico;6
b) se le attivitร principali del titolare o del responsabile consistono in trattamenti che
richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attivitร principali del titolare o del responsabile consistono nel trattamento su
larga scala di categorie particolari di dati7
o8
di dati personali relativi a condanne
penali e reati9
.
In questo paragrafo, il WP29 intende fornire indicazioni rispetto ai criteri e alle formulazioni
utilizzati nellโarticolo 37, paragrafo 1.
Tranne quando sia evidente che un soggetto non รจ tenuto a nominare un RPD, il WP29
raccomanda a titolari e responsabili di documentare le valutazioni compiute allโinterno
dellโazienda o dellโente per stabilire se si applichi o meno lโobbligo di nomina di un RPD,
cosรฌ da poter dimostrare che lโanalisi ha preso in esame correttamente i fattori pertinenti.10
Tale analisi fa parte della documentazione da produrre in base al principio di
responsabilizzazione. Puรฒ essere richiesta dallโautoritร di controllo e dovrebbe essere
aggiornata ove necessario, per esempio se i titolari o i responsabili intraprendono nuove
attivitร o forniscono nuovi servizi che potrebbero ricadere nel novero dei casi elencati allโart.
37, paragrafo 1.
Se si procede alla nomina di un RPD su base volontaria, troveranno applicazione tutti i
requisiti di cui agli artt. 37-39 per quanto concerne la nomina stessa, lo status e i compiti del
RPD esattamente come nel caso di una nomina obbligatoria.
Nulla osta a che unโazienda o un ente, quando non sia soggetta allโobbligo di designare un
RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a
personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati
personali. In tal caso รจ fondamentale garantire che non vi siano ambiguitร in termini di
denominazione, status e compiti di queste figure; รจ dunque essenziale che in tutte le
comunicazioni interne allโazienda e anche in quelle esterne (con lโautoritร di controllo, gli
interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la
denominazione di responsabile per la protezione dei dati (RPD).11
6 Con lโeccezione delle autoritร giudiziarie nellโesercizio delle funzioni giurisdizionali. V. art. 32 della direttiva
(Ue) 2016/680.
7 Ai sensi dellโart. 9, si tratta dei dati personali che rivelino lโorigine razziale o etnica, le opinioni politiche, le
convinzioni filosofiche o religiose, o lโappartenenza sindacale, oltre al trattamento di dati genetici, dati
biometrici al fine dellโidentificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale
o allโorientamento sessuale di una persona fisica.
8 Nel testo in lingua inglese dellโart. 37, primo paragrafo, lettera c) compare la congiunzione โandโ (e); si veda il
paragrafo 2.1.5 infra per maggiori chiarimenti sullโutilizzo della congiunzione โoโ anzichรฉ โeโ nello specifico
contesto.
9 Articolo 10.
10 Si veda lโart. 24, primo paragrafo. 11 Queste considerazioni valgono anche per i chief privacy officers (CPO) o altri professionisti in materia di
privacy giร operanti presso alcune aziende, che non sempre e non necessariamente si conformano ai requisiti
fissati nel regolamento per quanto riguarda, per esempio, le risorse disponibili o le salvaguardie della loro
indipendenza e che, in tal caso, non possono essere considerati e denominati โRPDโ.
6
Il RPD viene designato, su base obbligatoria o meno, per tutti i trattamenti svolti dal titolare o
dal responsabile.
2.1.1. โAutoritร pubblica o organismo pubblicoโ
Nel regolamento non si rinviene alcuna definizione di โautoritร pubblicaโ o โorganismo
pubblicoโ. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale;
conseguentemente, sono autoritร pubbliche o organismi pubblici le autoritร nazionali,
regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende
anche tutta una serie di altri organismi di diritto pubblico.12 In questi casi la nomina di un
RPD รจ obbligatoria.
Lo svolgimento di funzioni pubbliche e lโesercizio di pubblici poteri13 non pertengono
esclusivamente alle autoritร pubbliche e agli organismi pubblici, potendo riferirsi anche ad
altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda
delle disposizioni fissate nel diritto interno di ciascuno Stato membro: trasporti pubblici,
forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche,
istituti per lโedilizia pubblica o organismi di disciplina professionale.
In tutti questi casi la situazione in cui versano gli interessati รจ probabilmente molto simile a
quella in cui il trattamento รจ svolto da unโautoritร pubblica o da un organismo pubblico. Piรน in
particolare, i trattamenti perseguono finalitร simili e spesso il singolo ha, in modo analogo, un
margine esiguo o nullo rispetto alla possibilitร di decidere se e come possano essere trattati i
propri dati personali; pertanto, รจ verosimile che sia necessaria lโulteriore tutela offerta dalla
nomina di un RPD.
Benchรฉ nei casi sopra descritti non sussista lโobbligo di nominare un RPD, il WP29
raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni
pubbliche o che esercitano pubblici poteri nominino un RPD. Le attivitร del RPD nominato
nei termini sopra indicati si estendono a tutti i trattamenti svolti, compresi quelli che non sono
connessi allโespletamento di funzioni pubbliche o allโesercizio di pubblici poteri quali, per
esempio, la gestione di un database del personale.
2.1.2. โAttivitร principaliโ
Lโarticolo 37, paragrafo 1, lettere b) e c) del RGPD contiene un riferimento alle โattivitร
principali del titolare del trattamento o del responsabile del trattamentoโ. Nel considerando
97 si afferma che le attivitร principali di un titolare del trattamento โriguardano le sue attivitร
primarie ed esulano dal trattamento dei dati personali come attivitร accessoriaโ. Con
โattivitร principaliโ si possono intendere le operazioni essenziali che sono necessarie al
raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento.
Tuttavia, lโespressione โattivitร principaliโ non va interpretata nel senso di escludere quei casi
in cui il trattamento di dati costituisce una componente inscindibile dalle attivitร svolte dal
titolare o dal responsabile. Per esempio, lโattivitร principale di un ospedale consiste nella
12 Si vedano, per esempio, le definizioni di โente pubblicoโ e โorganismo di diritto pubblicoโ contenute nellโart.
2, paragrafi 1 e 2, della direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003,
relativa al riutilizzo dellโinformazione del settore pubblico.
13 Articolo 6, paragrafo 1, lettera e).
7
prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel
rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le
informazioni contenute nella cartella sanitaria di un paziente. Ne deriva che il trattamento di
tali informazioni deve essere annoverato fra le attivitร principali di qualsiasi ospedale, e che
gli ospedali sono tenuti a nominare un RPD.
A titolo di ulteriore esemplificazione, si puรฒ citare il caso di unโimpresa di sicurezza privata
incaricata della sorveglianza di piรน centri commerciali e aree pubbliche. Lโattivitร principale
dellโimpresa consiste nella sorveglianza, e questa, a sua volta, รจ legata in modo inscindibile al
trattamento di dati personali. Ne consegue che anche lโimpresa in oggetto deve nominare un
RPD.
Dโaltro canto, tutti gli organismi (pubblici e privati) svolgono determinate attivitร quali il
pagamento delle retribuzioni al personale o la predisposizione di strutture standard di
supporto informatico. Si tratta di esempi di funzioni di supporto necessarie ai fini dellโattivitร
principale o dellโoggetto principale del singolo organismo, ma pur essendo necessarie o
essenziali sono considerate solitamente accessorie e non vengono annoverate fra le attivitร
principali.
2.1.3. โLarga scalaโ
In base allโarticolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati
personali avvenga su larga scala per far scattare lโobbligo di nomina di un RPD. Nel
regolamento non si dร alcuna definizione di trattamento su larga scala, anche se il
considerando 91 fornisce indicazioni in proposito.14
In realtร รจ impossibile precisare la quantitร di dati oggetto di trattamento o il numero di
interessati in modo da coprire tutte le eventualitร ; dโaltra parte, ciรฒ non significa che sia
impossibile, col tempo, individuare alcuni standard utili a specificare in termini piรน specifici
e/o quantitativi cosa debba intendersi per โlarga scalaโ con riguardo ad alcune tipologie di
trattamento maggiormente comuni. Anche il WP29 intende contribuire alla definizione di
questi standard pubblicando e mettendo a fattor comune esempi delle soglie applicabili per la
nomina di un RPD.
A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel
prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
14 Il considerando in questione vi ricomprende, in particolare, โtrattamenti su larga scala, che mirano al
trattamento di una notevole quantitร di dati personali a livello regionale, nazionale o sovranazionale e che
potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevatoโ.
Dโaltro canto, lo stesso considerando prevede in modo specifico che โIl trattamento di dati personali non
dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti
da parte di un singolo medico, operatore sanitario o avvocatoโ. Si deve tener conto del fatto che il considerando
offre alcune esemplificazioni ai due estremi della scala (trattamento svolto dal singolo medico / trattamento di
dati relativi a unโintera nazione o a livello europeo) e che fra tali estremi si colloca unโampia zona grigia. Inoltre,
va sottolineato che il considerando citato si riferisce alle valutazioni di impatto sulla protezione dei dati; ciรฒ
significa che non tutti gli elementi citati sono necessariamente pertinenti alla nomina di un RPD negli stessi
identici termini.
8
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in
percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dellโattivitร di trattamento;
– la portata geografica dellโattivitร di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un ospedale nellโambito delle ordinarie
attivitร ;
– trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto
pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
– trattamento di dati di geolocalizzazione raccolti in tempo reale per finalitร statistiche
da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai
clienti di una catena internazionale di fast food;
– trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di
una banca nellโambito delle ordinarie attivitร ;
– trattamento di dati personali da parte di un motore di ricerca per finalitร di pubblicitร
comportamentale;
– trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi
telefonici o telematici.
Alcuni esempi di trattamento non su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
– trattamento di dati personali relativi a condanne penali e reati svolto da un singolo
avvocato.
2.1.4. โMonitoraggio regolare e sistematicoโ
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione
allโinterno del RGPD; tuttavia, il considerando 24 menziona il โmonitoraggio del
comportamento di detti interessatiโ15 ricomprendendovi senza dubbio tutte le forme di
tracciamento e profilazione su Internet anche per finalitร di pubblicitร comportamentale.
Occorre rilevare, perรฒ, che la nozione di monitoraggio non trova applicazione solo con
riguardo allโambiente online, e che il tracciamento online va considerato solo uno dei possibili
esempi di monitoraggio del comportamento degli interessati.16
Lโaggettivo โregolareโ ha almeno uno dei seguenti significati a giudizio del WP29:
15 โPer stabilire se un’attivitร di trattamento sia assimilabile al controllo del comportamento dell’interessato, รจ
opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a
tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare
per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le
posizioni personali.โ
16 Si osservi che il considerando 24 riguarda lโapplicazione extraterritoriale del RGPD; inoltre, vi รจ una
differenza fra lโespressione โmonitoraggio del loro comportamentoโ (art. 3, paragrafo 2, lettera b) ) e
โmonitoraggio regolare e sistematico degli interessatiโ (art. 37, paragrafo 1, lettera b) ), per cui le due
espressioni potrebbero ben riferirsi a concetti distinti.
9
– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo
definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici.
Lโaggettivo โsistematicoโ ha almeno uno dei seguenti significati a giudizio del WP29:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nellโambito di un progetto complessivo di raccolta di dati;
– svolto nellโambito di una strategia.
Alcune esemplificazioni di attivitร che possono configurare un monitoraggio regolare e
sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la
prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta
elettronica; attivitร di marketing basate sullโanalisi dei dati raccolti; profilazione e scoring per
finalitร di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio,
definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di
riciclaggio); tracciamento dellโubicazione, per esempio da parte di app su dispositivi mobili;
programmi di fidelizzazione; pubblicitร comportamentale; monitoraggio di dati relativi allo
stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti,
automobili intelligenti, dispositivi per la domotica, ecc.
2.1.5. Categorie particolari di dati e dati relativi a condanne penali e a reati
Le disposizioni dellโart. 37, paragrafo 1, lettera c), riguardano il trattamento di categorie
particolari di dati ai sensi dellโarticolo 9 e di dati personali relativi a condanne penali e a reati
di cui allโarticolo 10. Nonostante lโutilizzo della congiunzione โeโ nel testo, non vi sono
motivazioni sistematiche che impongano lโapplicazione simultanea dei due criteri. Pertanto, il
testo deve essere interpretato come se recasse la congiunzione โoโ. [NdT: il testo italiano del
regolamento reca giร la congiunzione โoโ]
2.2. RPD del responsabile del trattamento
Per quanto riguarda la nomina di un RPD, lโart. 37 non distingue fra titolari17 e responsabili18
del trattamento in termini di sua applicabilitร . A seconda di chi soddisfi i criteri relativi
allโobbligatorietร della nomina, potrร essere il solo titolare ovvero il solo responsabile, oppure
sia lโuno sia lโaltro a dover nominare un RPD; questi ultimi saranno poi tenuti alla reciproca
collaborazione.
17 Ai sensi della definizione contenuta allโart. 4, punto 7, il titolare del trattamento รจ la persona o lโorganismo che
determina le finalitร e i mezzi del trattamento.
18 Ai sensi della definizione contenuta allโart. 4, punto 8, il responsabile del trattamento รจ la persona o
lโorganismo che tratta dati personali per conto del titolare del trattamento.
10
Vale la pena di evidenziare che anche qualora il titolare sia tenuto, in base ai criteri suddetti, a
nominare un RPD, il suo eventuale responsabile del trattamento non รจ detto sia egualmente
tenuto a procedere a tale nomina โ che perรฒ puรฒ costituire una buona prassi.
Alcuni esempi:
– Una piccola azienda a conduzione familiare operante nel settore della distribuzione di
elettrodomestici in una cittร si serve di un responsabile del trattamento la cui attivitร
principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre
allโassistenza per attivitร di pubblicitร e marketing mirati. Le attivitร svolte
dallโazienda e dai clienti non generano trattamenti di dati โsu larga scalaโ, in
considerazione del ridotto numero di clienti e della gamma relativamente limitata di
attivitร . Tuttavia, il responsabile del trattamento, che conta numerosi clienti come
questa piccola azienda familiare, svolge, nel suo complesso, trattamenti su larga scala.
Ne deriva che il responsabile deve nominare un RPD ai sensi dellโart. 37, primo
paragrafo, lettera b); al contempo, lโazienda in quanto tale non รจ soggetta allโobbligo
di nomina del RPD.
– Unโazienda di medie dimensioni che produce rivestimenti in ceramica incarica un
responsabile esterno della gestione dei servizi di salute occupazionale; tale
responsabile ha un numero elevato di clienti con caratteristiche analoghe. Il
responsabile รจ tenuto a nominare un RPD ai sensi dellโart. 37, primo paragrafo, lettera
b), poichรฉ svolge trattamenti su larga scala. Tuttavia, lโazienda non รจ tenuta
necessariamente allo stesso adempimento.
Il RPD nominato da un soggetto responsabile del trattamento vigila anche sulle attivitร svolte
da tale soggetto quando operi in qualitร di autonomo titolare del trattamento โ per esempio,
rispetto ai dati concernenti il personale, le risorse informatiche, la logistica.
2.3. Designazione di un unico RPD per piรน organismi
Lโarticolo 37, paragrafo 2, consente a un gruppo imprenditoriale di nominare un unico RPD a
condizione che questโultimo sia โfacilmente raggiungibile da ciascuno stabilimentoโ. Il
concetto di raggiungibilitร si riferisce ai compiti del RPD in quanto punto di contatto per gli
interessati,19 lโautoritร di controllo20 e i soggetti interni allโorganismo o allโente, visto che uno
dei compiti del RPD consiste nellโ โinformare e fornire consulenza al titolare del trattamento
o al responsabile del trattamento nonchรฉ ai dipendenti che eseguono il trattamento in merito
agli obblighi derivanti dal presente regolamentoโ.21
Allo scopo di assicurare la raggiungibilitร del RPD, interno o esterno, รจ importante garantire
la disponibilitร dei dati di contatto nei termini previsti dal RGPD.22
Intermezzo promozionale ... continua la lettura dopo il box:
19 V. art. 38, paragrafo 4: โGli interessati possono contattare il responsabile della protezione dei dati per tutte le
questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente
regolamento.โ
20 V. art. 39, paragrafo 1, lettera e): โfungere da punto di contatto per l’autoritร di controllo per questioni
connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso,
consultazioni relativamente a qualunque altra questione.โ 21 Art. 39, paragrafo 1, lettera a). 22 V. anche paragrafo 2.6 infra.
11
Il RPD, se necessario con il supporto di un team di collaboratori, deve essere in grado di
comunicare con gli interessati23 in modo efficiente e di collaborare24 con le autoritร di
controllo interessate. Ciรฒ significa, fra lโaltro, che le comunicazioni in questione devono
avvenire nella lingua utilizzata dalle autoritร di controllo e dagli interessati volta per volta in
causa. Il fatto che il RPD sia raggiungibile โ vuoi fisicamente allโinterno dello stabile ove
operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di
comunicazione โ รจ fondamentale al fine di garantire allโinteressato la possibilitร di contattare
il RPD stesso.
Ai sensi dellโarticolo 37, terzo paragrafo, รจ ammessa la designazione di un unico RPD per piรน
autoritร pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e
dimensione. Valgono le stesse considerazioni svolte in tema di risorse e comunicazioni.
Poichรฉ il RPD รจ chiamato a una molteplicitร di funzioni, il titolare o il responsabile deve
assicurarsi che un unico RPD, se necessario supportato da un team di collaboratori, sia in
grado di adempiere in modo efficiente a tali funzioni anche se designato da una molteplicitร di
autoritร e organismi pubblici.
2.4. Accessibilitร e localizzazione del RPD
Ai sensi dellโart. 4 [sic] del RGPD, lโaccessibilitร del RPD deve essere effettivamente tale.
Per garantire tale accessibilitร , il WP29 raccomanda che il RPD sia localizzato nel territorio
dellโUnione europea, indipendentemente dal fatto che il titolare o il responsabile siano stabiliti
nellโUe.
Tuttavia, non si puรฒ escludere che, in alcuni casi ove il titolare o il responsabile non sono
stabiliti nellโUe25, un RPD sia in grado di svolgere i propri compiti con maggiore efficacia
operando al di fuori del territorio dellโUe.
2.5. Conoscenze e competenze del RPD
In base allโarticolo 37, paragrafo 5, il RPD โรจ designato in funzione delle qualitร
professionali, in particolare della conoscenza specialistica della normativa e delle prassi in
materia di protezione dei dati, e della capacitร di assolvere i compiti di cui allโarticolo 39โ.
Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe
essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati
personali oggetto di trattamento.
– Conoscenze specialistiche
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto,
deve essere proporzionato alla sensibilitร , complessitร e quantitร dei dati sottoposti a
23 V. art. 12, paragrafo 1: โIl titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le
informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34
relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio
semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.โ 24 V. art. 39, paragrafo 1, lettera d: โcooperare con lโautoritร di controllo.โ
25 V. art. 3 del RGPD per quanto concerne lโambito territoriale di applicazione.
12
trattamento. Per esempio, se un trattamento riveste particolare complessitร oppure comporta
un volume consistente di dati sensibili, il RPD avrร probabilmente bisogno di un livello piรน
elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base
allโesistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori
dellโUnione europea. Ne consegue la necessitร di una particolare attenzione nella scelta del
RPD, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei
dati con cui il singolo titolare deve confrontarsi.
– Qualitร professionali
Lโarticolo 37, paragrafo 5, non specifica le qualitร professionali da prendere in considerazione
nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD
della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e
unโapprofondita conoscenza del RGPD. Proficua anche la promozione di una formazione
adeguata e continua rivolta ai RPD da parte delle Autoritร di controllo.
Eโ utile la conoscenza dello specifico settore di attivitร e della struttura organizzativa del
titolare; inoltre, il RPD dovrebbe avere buona familiaritร con le operazioni di trattamento
svolte nonchรฉ con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate
dal titolare.
Nel caso di unโautoritร pubblica o di un organismo pubblico, il RPD dovrebbe possedere
anche una conoscenza approfondita delle norme e procedure amministrative applicabili.
– Capacitร di assolvere i propri compiti
Per capacitร di assolvere i propri compiti si deve intendere sia quanto รจ legato alle qualitร
personali e alle conoscenze del RPD, sia quanto dipende dalla posizione del RPD allโinterno
dellโazienda o dellโorganismo. Le qualitร personali dovrebbero comprendere, per esempio,
lโintegritร ed elevati standard deontologici; il RPD dovrebbe perseguire in via primaria
lโosservanza delle disposizioni del RGPD. Il RPD svolge un ruolo chiave nel promuovere la
cultura della protezione dei dati allโinterno dellโazienda o dellโorganismo, e contribuisce a
dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del
trattamento26, i diritti degli interessati27, la protezione dei dati sin dalla fase di progettazione e
per impostazione predefinita28, i registri delle attivitร di trattamento29, la sicurezza dei
trattamenti30 e la notifica e comunicazione delle violazioni di dati personali.31
– RPD sulla base di un contratto di servizi
La funzione di RPD puรฒ essere esercitata anche in base a un contratto di servizi stipulato con
una persona fisica o giuridica esterna allโorganismo o allโazienda titolare/responsabile del
trattamento. In tal caso, รจ indispensabile che ciascun soggetto appartenente alla persona
giuridica e operante quale RPD soddisfi tutti i requisiti applicabili come fissati nella Sezione 4
26 Capo II
27 Capo III
28 Art. 25.
29 Art. 30.
30 Art. 32.
31 Artt. 33 e 34
13
del RGPD; per esempio, รจ indispensabile che nessuno di tali soggetti versi in situazioni di
conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione
goda delle tutele previste dal RGPD: per esempio, non รจ ammissibile la risoluzione
ingiustificata del contratto di servizi in rapporto alle attivitร svolte in quanto RPD, nรฉ รจ
ammissibile lโingiustificata rimozione di un singolo appartenente alla persona giuridica che
svolga funzioni di RPD. Al contempo, si potranno associare le competenze e le capacitร
individuali affinchรฉ il contributo collettivo fornito da piรน soggetti consenta di rendere alla
clientela un servizio piรน efficiente.
Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse
a carico dei componenti il team RPD, si raccomanda di procedere a una chiara ripartizione
dei compiti allโinterno del team RPD e di prevedere che sia un solo soggetto a fungere da
contatto principale e โincaricatoโ per ciascun cliente. Sarร utile, in via generale, inserire
specifiche disposizioni in merito nel contratto di servizi.
2.6. Pubblicazione e comunicazione dei dati di contatto del RPD
Lโarticolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del
trattamento
– di pubblicare i dati di contatto del RPD, e
– di comunicare i dati di contatto del RPD alle pertinenti autoritร di controllo.
Queste disposizioni mirano a garantire che tanto gli interessati (allโinterno o allโesterno
dellโente/organismo titolare o responsabile) quanto le autoritร di controllo possano contattare
il RPD in modo facile e diretto senza doversi rivolgere a unโaltra struttura operante presso il
titolare/responsabile. Anche la confidenzialitร riveste pari importanza; per esempio, i
dipendenti possono essere riluttanti a presentare reclami al RPD se non viene garantita la
confidenzialitร delle loro comunicazioni. Il RPD รจ tenuto a osservare le norme in materia di
segreto o confidenzialitร nello svolgimento dei propri compiti, in conformitร del diritto
dellโUnione o degli Stati membri (art. 38, paragrafo 5).
I dati di contatto del RPD dovrebbero comprendere tutte le informazioni che consentono agli
interessati e allโautoritร di controllo di raggiungere facilmente il RPD stesso: recapito postale,
numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. Se opportuno, per
facilitare la comunicazione con il pubblico, si potrebbero indicare anche canali ulteriori: una
hotline dedicata, un modulo specifico per contattare il RPD pubblicato sul sito del
titolare/responsabile.
In base allโarticolo 37, settimo paragrafo, del RGPD non รจ necessario pubblicare anche il
nominativo del RPD. Seppure ciรฒ rappresenti con ogni probabilitร di una buona prassi, spetta
al titolare o al responsabile e allo stesso RPD stabilire se si tratti di unโinformazione
necessaria o utile nelle specifiche circostanze.32 Tuttavia, comunicare il nominativo del RPD
allโautoritร di controllo รจ fondamentale affinchรฉ il RPD funga da punto di contatto fra il
singolo ente o organismo e lโautoritร di controllo stessa (art. 39, paragrafo 1, lettera e) ).
32 Si osservi che lโart. 33, paragrafo 3, lettera b), ove sono indicate le informazioni da fornire allโautoritร di
controllo e agli interessati in caso di violazione dei dati personali, prevede, a differenza dellโart. 37, paragrafo 7,
che tali informazioni comprendano anche il nominativo (e non solo le informazioni di contatto) del RPD.
14
In termini di buone prassi, il WP29 raccomanda, inoltre, che il titolare/responsabile comunichi
ai dipendenti il nominativo e i dati di contatto del RPD. Per esempio, queste informazioni
(nominativo e dati di contatto) potrebbero essere pubblicate sulla intranet del
titolare/responsabile, inserite nellโelenco telefonico interno e nei diversi organigrammi della
struttura.
3. Posizione del RPD
3.1. Coinvolgimento del RPD in tutte le questioni riguardanti la protezione dei dati personali
Ai sensi dellโarticolo 38 del RGPD, il titolare e il responsabile assicurano che il RPD sia
โtempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione
dei dati personaliโ.
Eโ essenziale che il RPD, o il suo team di collaboratori, sia coinvolto quanto prima possibile
in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di
impatto sulla protezione dei dati, il regolamento prevede espressamente che il RPD vi sia
coinvolto fin dalle fasi iniziali e specifica che il titolare ha lโobbligo di consultarlo
nellโeffettuazione di tali valutazioni.33 Assicurare il tempestivo e immediato coinvolgimento
del RPD, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterร
lโosservanza del RGPD e promuoverร lโapplicazione del principio di privacy (e protezione
dati) fin dalla fase di progettazione; pertanto, questo dovrebbe rappresentare lโapproccio
standard allโinterno della struttura del titolare/responsabile. Inoltre, รจ importante che il RPD
sia annoverato fra gli interlocutori allโinterno della struttura suddetta, e che partecipi ai gruppi
di lavoro che volta per volta si occupano delle attivitร di trattamento.
Ciรฒ significa che occorrerร garantire, per esempio:
– che il RPD sia invitato a partecipare su base regolare alle riunioni del management di
alto e medio livello;
– la presenza del RPD ogniqualvolta debbano essere assunte decisioni che impattano
sulla protezione dei dati. Il RPD deve disporre tempestivamente di tutte le
informazioni pertinenti in modo da poter rendere una consulenza idonea;
– che il parere del RPD riceva sempre la dovuta considerazione. In caso di disaccordi, il
WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno
portato a condotte difformi da quelle raccomandate dal RPD;
– che il RPD sia consultato tempestivamente qualora si verifichi una violazione dei dati
o un altro incidente.
Ove opportuno, il titolare o il responsabile potrebbero mettere a punto linee-guida ovvero
programmazioni in materia di protezione dei dati che indichino i casi di consultazione
obbligatoria del RPD.
3.2. Risorse necessarie
33 Art. 35, paragrafo 2.
15
Lโarticolo 38, secondo paragrafo, del RGPD obbliga il titolare o il responsabile a sostenere il
RPD โfornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali
e ai trattamenti e per mantenere la propria conoscenza specialisticaโ. Ciรฒ si traduce, in modo
particolare, nelle indicazioni seguenti:
– supporto attivo delle funzioni del RPD da parte del senior management (per esempio,
a livello del consiglio di amministrazione);
– tempo sufficiente per lโespletamento dei compiti affidati al RPD. Ciรฒ riveste
particolare importanza se viene designato un RPD interno con un contratto part-time,
oppure se il RPD esterno si occupa di protezione dati oltre a svolgere altre
incombenze. In caso contrario, il rischio รจ che le attivitร cui il RPD รจ chiamato
finiscano per essere trascurate a causa di conflitti con altre prioritร . Eโ fondamentale
disporre di tempo sufficiente da dedicare allo svolgimento dei compiti previsti per il
RPD; una prassi da raccomandare consiste nel definire la percentuale del tempo
lavorativo destinata alle attivitร di RPD quando questโultimo svolga anche altre
funzioni. Unโaltra buona prassi consiste nello stabilire il tempo necessario per
adempiere alle relative incombenze, definire il livello di prioritร spettante a tale
incombenze, e prevedere che il RPD stesso (ovvero lโazienda/lโorganismo titolare o
responsabile) rediga un piano di lavoro;
– supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature,
strumentazione) e, ove opportuno, personale;
– comunicazione ufficiale della nomina del RPD a tutto il personale, in modo da
garantire che la sua presenza e le sue funzioni siano note allโinterno
dellโazienda/dellโorganismo;
– accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.)
cosรฌ da fornire al RPD supporto, informazioni e input essenziali;
– formazione permanente. I RPD devono avere la possibilitร di curare il proprio
aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Ciรฒ mira, in
ultima analisi, a consentire un incremento continuo del livello di competenze proprio
dei RPD, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su
materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione
(forum in materia di privacy, workshop, ecc.);
– alla luce delle dimensioni e della struttura della singola azienda/del singolo organismo,
puรฒ risultare necessario costituire un ufficio o un gruppo di lavoro RPD (formato dal
RPD stesso e dal rispettivo personale). In casi del genere, รจ opportuno definire con
precisione la struttura interna del gruppo di lavoro nonchรฉ i compiti e le responsabilitร
individuali. Analogamente, se la funzione di RPD viene esercitata da un fornitore di
servizi esterno allโazienda/allโorganismo, potrร aversi la costituzione di un gruppo di
lavoro formato da soggetti operanti per conto di tale fornitore e incaricati di svolgere
le funzioni di RPD sotto la direzione di un responsabile che funga da contatto per il
cliente.
In linea di principio, quanto piรน aumentano complessitร e/o sensibilitร dei trattamenti, tanto
maggiori devono essere le risorse messe a disposizione del RPD. La funzione โprotezione
datiโ deve poter operare con efficienza e contare su risorse sufficienti in proporzione al
trattamento svolto.
3.3. Istruzioni e [significato di] โadempiere alle funzioni e ai compiti loro incombenti in
maniera indipendenteโ
16
Lโarticolo 38, terzo paragrafo, fissa alcune garanzie essenziali per consentire ai RPD di
operare con un grado sufficiente di autonomia allโinterno dellโorganizzazione del
titolare/responsabile. In particolare, questi ultimi sono tenuti ad assicurare che il RPD โnon
riceva alcuna istruzione per quanto riguarda lโesecuzione di tali compitiโ. Il considerando 97
aggiunge che i RPD โdipendenti o meno del titolare del trattamento, dovrebbero poter
adempiere alle funzioni e ai compiti loro incombenti in maniera indipendenteโ.
Ciรฒ significa che il RPD, nellโesecuzione dei compiti attribuitigli ai sensi dellโarticolo 39, non
deve ricevere istruzioni sullโapproccio da seguire nel caso specifico โ quali siano i risultati
attesi, come condurre gli accertamenti su un reclamo, se consultare o meno lโautoritร di
controllo. Nรฉ deve ricevere istruzioni sullโinterpretazione da dare a una specifica questione
attinente alla normativa in materia di protezione dei dati.
Tuttavia, lโautonomia del RPD non significa che questโultimo disponga di un margine
decisionale superiore al perimetro dei compiti fissati nellโarticolo 39.
Il titolare o il responsabile mantengono la piena responsabilitร dellโosservanza della
normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale
osservanza.34 Se il titolare o il responsabile assumono decisioni incompatibili con il RGPD e
le indicazioni fornite dal RPD, questโultimo dovrebbe avere la possibilitร di manifestare il
proprio dissenso al piรน alto livello del management e ai decisori. Al riguardo, lโart. 38,
paragrafo 3, prevede che il RPD โriferisce direttamente al vertice gerarchico del titolare del
trattamento o del responsabile del trattamentoโ. Tale rapporto diretto garantisce che il vertice
amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle
indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di
informazione e consulenza a favore del titolare o del responsabile. Un altro esempio di tale
rapporto diretto consiste nella redazione di una relazione annuale delle attivitร svolte dal RPD
da sottoporre al vertice gerarchico.
3.4. Rimozione o penalizzazioni in rapporto allโadempimento dei compiti di RPD
Lโarticolo 38, terzo paragrafo, prevede che il RPD โnon รจ rimosso o penalizzato dal titolare
del trattamento o dal responsabile del trattamento per lโadempimento dei propri compitiโ.
Questa prescrizione mira a potenziare lโautonomia del RPD e ad assicurarne lโindipendenza
nellโadempimento dei compiti assegnatigli, attraverso la previsione di unโadeguata tutela.
Il divieto di penalizzazioni menzionato nel RGPD si applica solo con riguardo a quelle
penalizzazioni eventualmente derivanti dallo svolgimento dei compiti propri del RPD. Per
esempio, un RPD puรฒ ritenere che un determinato trattamento comporti un rischio elevato e
quindi raccomandare al titolare o al responsabile di condurre una valutazione di impatto, ma
questi ultimi non concordano con la valutazione del RPD. In casi del genere non รจ
ammissibile che il RPD sia rimosso dallโincarico per avere formulato la raccomandazione in
oggetto.
34 Articolo 5(2).
17
Le penalizzazioni possono assumere molte forme e avere natura diretta o indiretta. Per
esempio, potrebbero consistere nella mancata o ritardata promozione, nel blocco delle
progressioni di carriera, nella mancata concessione di incentivi rispetto ad altri dipendenti.
Non รจ necessario che si arrivi allโeffettiva applicazione di una penalizzazione, essendo
sufficiente anche la sola minaccia nella misura in cui sia rivolta al RPD in rapporto alle
attivitร da questi svolte.
Viceversa, e conformemente alle normali regole di gestione applicabili a ogni altro dipendente
o fornitore soggetto alla disciplina del rispettivo contratto nazionale ovvero alle norme di
diritto penale e del lavoro, sarebbe legittimamente possibile interrompere il rapporto con il
RPD per motivazioni diverse dallo svolgimento dei compiti che gli sono propri: per esempio,
in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni
deontologiche.
In questo ambito va rilevato che il RGPD non specifica le modalitร e la tempistica riferite alla
cessazione del rapporto di lavoro del RPD o alla sua sostituzione. Tuttavia, quanto maggiore รจ
la stabilitร del contratto stipulato con il RPD e maggiori le tutele previste contro lโingiusto
licenziamento, tanto maggiore sarร la probabilitร che lโazione del RPD si svolga in modo
indipendente. Il WP29 vede, quindi, con favore ogni iniziativa assunta in tal senso dai titolari
e responsabili di trattamento.
3.5. Conflitto di interessi
In base allโart. 38, paragrafo 6, al RPD รจ consentito di โsvolgere altri compiti e funzioniโ, ma
a condizione che il titolare o il responsabile del trattamento si assicuri che โtali compiti e
funzioni non diano adito a un conflitto di interessiโ.
Lโassenza di conflitti di interessi รจ strettamente connessa agli obblighi di indipendenza. Anche
se un RPD puรฒ svolgere altre funzioni, lโaffidamento di tali ulteriori compiti e funzioni รจ
possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciรฒ significa, in
modo particolare, che un RPD non puรฒ rivestire, allโinterno dellโorganizzazione del titolare o
del responsabile, un ruolo che comporti la definizione delle finalitร o modalitร del trattamento
di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando
alla specifica struttura organizzativa del singolo titolare o responsabile.
A grandi linee, possono sussistere situazioni di conflitto allโinterno dellโorganizzazione del
titolare o del responsabile riguardo a ruoli manageriali di vertice (amministratore delegato,
responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing,
direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente
inferiori se queste ultime comportano la determinazione di finalitร o mezzi del trattamento.
Inoltre, puรฒ insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di
rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione
dei dati.
A seconda delle attivitร , delle dimensioni e della struttura organizzativa del titolare o del
responsabile, si possono indicare le seguenti buone prassi:
– individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
– redigere regole interne a tale scopo onde evitare conflitti di interessi;
18
– prevedere unโillustrazione piรน articolata dei casi di conflitto di interessi;
– dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con
riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in
questione;
– prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la
disponibilitร di una posizione lavorativa quale RPD ovvero nel redigere il contratto di
servizi si utilizzino formulazioni sufficientemente precise e dettagliate cosรฌ da
prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto
di interessi puรฒ assumere varie configurazioni a seconda che il RPD sia designato fra
soggetti interni o esterni allโorganizzazione.
4. Compiti del RPD
4.1. Sorvegliare lโosservanza del RGPD
Lโart. 39, paragrafo 1, lettera b), affida al RPD, fra gli altri, il compito di sorvegliare
lโosservanza del RGPD. Nel considerando 97 si specifica che il titolare o il responsabile del
trattamento dovrebbe essere โassistito [dal RPD] nel controllo del rispetto a livello interno
del presente regolamentoโ.
Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,
– la raccolta di informazioni per individuare i trattamenti svolti;
– lโanalisi e la verifica dei trattamenti in termini di loro conformitร ,
– lโattivitร di informazione, consulenza e indirizzo nei confronti di titolare o
responsabile.
Il controllo del rispetto del regolamento non significa che il RPD sia personalmente
responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD,
โmette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado
di dimostrare, che il trattamento รจ effettuato conformemente al presente regolamentoโ (art.
24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della
responsabilitร dโimpresa del titolare del trattamento, non del RPD.
4.2. Il ruolo del RPD nella valutazione di impatto sulla protezione dei dati
In base allโart. 35, paragrafo 1, spetta al titolare del trattamento, e non al RPD, condurre, ove
necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nellโacronimo
inglese). Tuttavia, il RPD svolge un ruolo fondamentale e di grande utilitร assistendo il
titolare nello svolgimento di tale DPIA. In ossequio al principio di โprotezione dei dati fin
dalla fase di progettazioneโ (o data protection by design), lโart. 35, secondo paragrafo,
prevede in modo specifico che il titolare โsi consultaโ con il RPD quando svolge una DPIA. A
sua volta, lโart. 39, primo paragrafo, lettera c) affida al RPD il compito di โfornire, se
richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dellโarticolo 35โ.
19
Il WP29 raccomanda che il titolare si consulti con il RPD, fra lโaltro, sulle seguenti
tematiche:35
– se condurre o meno una DPIA;
– quale metodologia adottare nel condurre una DPIA;
– se condurre la DPIA con le risorse interne ovvero esternalizzandola;
– quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i
rischi per i diritti e gli interessi delle persone interessate;
– se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte
(procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al
RGPD.
Qualora il titolare non concordi con le indicazioni fornite dal RPD, รจ necessario che la
documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si
รจ ritenuto di non conformarsi a tali indicazioni.36
Inoltre, il WP29 raccomanda che il titolare definisca con chiarezza, per esempio nel contratto
stipulato con il RPD, ma anche fornendo informative ai dipendenti, agli amministratori e, ove
pertinente, ad altri aventi causa, i compiti specificamente affidati al RPD e i rispettivi ambiti,
con particolare riguardo alla conduzione della DPIA.
4.3. Cooperazione con lโautoritร di controllo e funzione di punto di contatto
In base allโart. 39, paragrafo 1, lettere d) ed e), il RPD deve โcooperare con lโautoritร di
controlloโ e โfungere da punto di contatto per lโautoritร di controllo per questioni connesse al
trattamento, tra cui la consultazione preventiva di cui allโarticolo 36, ed effettuare, se del caso,
consultazioni relativamente a ogni altra questioneโ.
Questi compiti attengono al ruolo di โfacilitatoreโ attribuito al RPD e giร menzionato
nellโintroduzione alle presenti Linee-guida. Il RPD funge da punto di contatto per facilitare
lโaccesso, da parte dellโautoritร di controllo, ai documenti e alle informazioni necessarie per
lโadempimento dei compiti attribuitile dallโart. 57 nonchรฉ ai fini dellโesercizio dei poteri di
indagine, correttivi, autorizzativi e consultivi di cui allโart. 58. Si รจ giร rilevato che il RPD รจ
tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformitร del diritto
dellโUnione o degli Stati membri (art. 38, paragrafo 5); tuttavia, tali vincoli di
segreto/riservatezza non precludono la possibilitร per il RPD di contattare e chiedere lumi
allโautoritร di controllo. Lโart. 39, paragrafo 1, prevede che il RPD possa consultare lโautoritร
di controllo con riguardo a qualsiasi altra questione, se del caso.
4.4. Approccio basato sul rischio
35 I compiti del RPD sono elencati allโart. 39, paragrafo 1, ove si specifica che il RPD deve svolgere โalmenoโ i
compiti in questione. Ne deriva che niente vieta al titolare di assegnare al RPD compiti ulteriori rispetto a quelli
espressamente menzionati allโart. 39, paragrafo 1, ovvero di specificare ulteriormente i suddetti compiti.
36 Lโart. 24, paragrafo 1, prevede che โTenuto conto della natura, dell’ambito di applicazione, del contesto e
delle finalitร del trattamento, nonchรฉ dei rischi aventi probabilitร e gravitร diverse per i diritti e le libertร delle
persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire,
ed essere in grado di dimostrare, che il trattamento รจ effettuato conformemente al presente regolamento. Dette
misure sono riesaminate e aggiornate qualora necessarioโ.
20
In base allโart. 39, secondo paragrafo, il RPD deve โconsidera[re] debitamente i rischi
inerenti al trattamento, tenuto conto della natura, dellโambito di applicazione, del contesto e
delle finalitร del medesimoโ.
Si tratta di una disposizione di portata generale e ispirata a criteri di buon senso,
verosimilmente applicabile sotto molti riguardi allโattivitร quotidiana del RPD. In sostanza, si
chiede al RPD di definire un ordine di prioritร nellโattivitร svolta e di concentrarsi sulle
questioni che presentino maggiori rischi in termini di protezione dei dati. Seppure ciรฒ non
significhi che il RPD debba trascurare di sorvegliare il grado di conformitร di altri trattamenti
associati a un livello di rischio comparativamente inferiore, di fatto la disposizione segnala
lโopportunitร di dedicare attenzione prioritaria agli ambiti che presentino rischi piรน elevati.
Attraverso questo approccio selettivo e pragmatico, il RPD dovrebbe essere piรน facilmente in
grado di consigliare al titolare quale metodologia seguire nel condurre una DPIA, a quali
settori riservare un audit interno o esterno in tema di protezione dei dati, quali attivitร di
formazione interna prevedere per il personale o gli amministratori che trattino dati personali, e
a quali trattamenti dedicare maggiori risorse e tempo.
4.5. Il ruolo del RPD nella tenuta del registro delle attivitร di trattamento
Lโart. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del
trattamento, e non il RPD, a โten[ere] un registro delle attivitร di trattamento svolte sotto la
propria responsabilitร โ ovvero โun registro di tutte le categorie di trattamento svolte per
conto di un titolare del trattamentoโ.
Nella realtร , sono spesso i RPD a realizzare lโinventario dei trattamenti e tenere un registro di
tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unitร che trattano dati
personali. ร una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali
nonchรฉ sulla normativa in materia di protezione dati applicabile alle istituzioni e agli
organismi dellโUe.37
Lโart. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD.
Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito
di tenere il registro delle attivitร di trattamento sotto la responsabilitร del titolare o del
responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD
di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e
consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta รจ obbligatoria ai sensi dellโart. 30 deve essere considerato
anche uno strumento che consente al titolare e allโautoritร di controllo, su richiesta, di
disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico
soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dellโosservanza
delle norme e, pertanto, unโefficace misura di responsabilizzazione.
37 Si veda lโart. 24, paragrafo 1, lettera d), del regolamento (CE) 45/2001.
21
5. ALLEGATO ALLE LINEE-GUIDA SUL RPD โ INDICAZIONI ESSENZIALI
Lโallegato intende rispondere, in forma sintetica e semplificata, ad alcune delle domande
fondamentali rispetto al nuovo obbligo di designazione di un RPD fissato nel regolamento
generale sulla protezione dei dati
Designazione del RPD
1. Chi รจ tenuto a designare un RPD?
La designazione di un RPD รจ obbligatoria:
– se il trattamento รจ svolto da unโautoritร pubblica o da un organismo pubblico;
– se le attivitร principali del titolare o del responsabile consistono in trattamenti che
richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
– se le attivitร principali del titolare o del responsabile consistono nel trattamento su
larga scala di categorie particolari di dati o di dati personali relativi a condanne penali
e reati.
Si tenga presente che la designazione obbligatoria di un RPD puรฒ essere prevista anche in casi
ulteriori in base alla legge nazionale o al diritto dellโUe. Inoltre, anche ove la designazione di
un RPD non sia obbligatoria, puรฒ risultare utile procedere a tale designazione su base
volontaria. Il Gruppo di lavoro โArticolo 29โ (WP29) incoraggia un approccio di questo
genere. Qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli
identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono
per i RPD designati in via obbligatoria.
Fonte: articolo 37(1) RGPD
2. Cosa significa โattivitร principaliโ?
Con โattivitร principaliโ si possono intendere le operazioni essenziali che sono necessarie al
raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento,
comprese tutte quelle attivitร per le quali il trattamento dei dati รจ inscindibilmente connesso
allโattivitร del titolare o del responsabile. Per esempio, il trattamento di dati relativi alla salute
(come le cartelle sanitarie dei pazienti) รจ da ritenersi una delle attivitร principali di qualsiasi
ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD.
Dโaltra parte, tutti gli organismi (pubblici e privati) svolgono determinate attivitร quali il
pagamento delle retribuzioni al personale ovvero dispongono di strutture standard di supporto
informatico. Si tratta di esempi di funzioni di supporto necessarie ai fini dellโattivitร
principale o dellโoggetto principale del singolo organismo, ma pur essendo necessarie o
perfino essenziali sono considerate solitamente di natura accessoria e non vengono
annoverate fra le attivitร principali.
22
Fonte: art. 37, paragrafo 1, lettere b) e c) RGPD
3. Cosa significa โsu larga scalaโ?
Il regolamento non definisce cosa rappresenti un trattamento โsu larga scalaโ. Il WP29
raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un
trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in
percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dellโattivitร di trattamento;
– la portata geografica dellโattivitร di trattamento.
Alcuni esempi di trattamento su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un ospedale nellโambito delle ordinarie
attivitร ;
– trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto
pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
– trattamento di dati di geolocalizzazione raccolti in tempo reale per finalitร statistiche
da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai
clienti di una catena internazionale di fast food;
– trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di
una banca nellโambito delle ordinarie attivitร ;
– trattamento di dati personali da parte di un motore di ricerca per finalitร di pubblicitร
comportamentale;
– trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi
telefonici o telematici.
Alcuni esempi di trattamento non su larga scala sono i seguenti:
– trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
– trattamento di dati personali relativi a condanne penali e reati svolto da un singolo
avvocato.
Fonte: art. 37, paragrafo 1, lettere b) e c), RGPD
4. Cosa significa โmonitoraggio regolare e sistematicoโ?
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione
allโinterno del RGPD; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e
profilazione su Internet anche per finalitร di pubblicitร comportamentale. Non si tratta, perรฒ,
di un concetto riferito esclusivamente allโambiente online.
Alcune esemplificazioni di attivitร che possono configurare un monitoraggio regolare e
sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la
prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta
23
elettronica; attivitร di marketing basate sullโanalisi dei dati raccolti; profilazione e scoring per
finalitร di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio,
definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di
riciclaggio); tracciamento dellโubicazione, per esempio da parte di app su dispositivi mobili;
programmi di fidelizzazione; pubblicitร comportamentale; monitoraggio di dati relativi allo
stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti,
automobili intelligenti, dispositivi per la domotica, ecc.
Lโaggettivo โregolareโ ha almeno uno dei seguenti significati a giudizio del WP29:
– che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo
definito;
– ricorrente o ripetuto a intervalli costanti;
– che avviene in modo costante o a intervalli periodici.
Lโaggettivo โsistematicoโ ha almeno uno dei seguenti significati a giudizio del WP29:
– che avviene per sistema;
– predeterminato, organizzato o metodico;
– che ha luogo nellโambito di un progetto complessivo di raccolta di dati;
– svolto nellโambito di una strategia.
Fonte: art. 37, paragrafo 1, lettera b), RGPD
5. Eโ ammessa la designazione congiunta di uno stesso RPD da parte di piรน
soggetti? E a quali condizioni?
Sรฌ. Un gruppo imprenditoriale puรฒ nominare un unico RPD a condizione che questโultimo sia
โfacilmente raggiungibile da ciascuno stabilimentoโ. Il concetto di raggiungibilitร si riferisce
ai compiti del RPD in quanto punto di contatto per gli interessati, lโautoritร di controllo e i
soggetti interni allโorganismo o allโente. Allo scopo di assicurare la raggiungibilitร del RPD,
interno o esterno, รจ importante garantire la disponibilitร dei dati di contatto nei termini
previsti dal RGPD. Il RPD, supportato da un apposito team se necessario, deve essere in
grado di comunicare con gli interessati in modo efficiente e di collaborare con le autoritร di
controllo interessate. Ciรฒ significa che le comunicazioni in questione devono avvenire nella
lingua utilizzata dalle autoritร di controllo e dagli interessati volta per volta in causa. Il fatto
che il RPD sia raggiungibile โ vuoi fisicamente allโinterno dello stabile ove operano i
dipendenti, vuoi attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione โ
รจ fondamentale al fine di garantire allโinteressato la possibilitร di contattare il RPD stesso.
ร ammessa la designazione di un unico RPD per piรน autoritร pubbliche o organismi pubblici,
tenuto conto della loro struttura organizzativa e dimensione. Valgono le stesse considerazioni
svolte in tema di risorse e comunicazioni. Poichรฉ il RPD รจ chiamato a una molteplicitร di
funzioni, il titolare o il responsabile deve assicurarsi che un unico RPD, se necessario
supportato da un team di collaboratori, sia in grado di adempiere in modo efficiente a tali
funzioni anche se designato da una molteplicitร di autoritร e organismi pubblici
24
Fonte: art. 37, paragrafi 2) e 3), RGPD
6. Dove dovrebbe collocarsi il RPD?
Per garantire lโaccessibilitร del RPD, il WP29 raccomanda la sua collocazione nel territorio
dellโUnione europea, indipendentemente dallโesistenza di uno stabilimento del titolare o del
responsabile nellโUe. Tuttavia, non si puรฒ escludere che un RPD sia in grado di adempiere ai
propri compiti con maggiore efficacia operando al di fuori dellโUe in alcuni casi ove titolare o
responsabile non sono stabiliti nel territorio dellโUnione europea.
7. Si puรฒ designare un RPD esterno?
Sรฌ. Il RPD puรฒ far parte del personale del titolare o del responsabile del trattamento (RPD
interno) ovvero โassolvere i suoi compiti in base a un contratto di serviziโ. In questโultimo
caso il RPD sarร esterno e le sue funzioni saranno esercitate sulla base di un contratto di
servizi stipulato con una persona fisica o giuridica.
Se la funzione di RPD รจ svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD
potranno essere assolti efficacemente da un team operante sotto lโautoritร di un contatto
principale designato e โresponsabileโ per il singolo cliente. In tal caso, รจ indispensabile che
ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti
applicabili come fissati nel RGPD.
Per favorire efficienza e correttezza e prevenire conflitti di interesse a carico dei componenti
il team, le linee-guida raccomandano di procedere a una chiara ripartizione dei compiti nel
team del RPD esterno, attraverso il contratto di servizi, e di prevedere che sia un solo
soggetto a fungere da contatto principale e โincaricatoโ per ciascun cliente.
Fonte: art. 37, paragrafo 6, RGPD
8. Quali sono le qualitร professionali che un RPD deve possedere?
Il RPD โรจ designato in funzione delle qualitร professionali, in particolare della conoscenza
specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacitร
di assolvere i [rispettivi] compitiโ.
Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai
trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di
trattamento. Per esempio, se un trattamento riveste particolare complessitร oppure comporta
un volume consistente di dati sensibili, il RPD avrร probabilmente bisogno di un livello piรน
elevato di conoscenze specialistiche e di supporto.
Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:
– conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei
dati, compresa unโapprofondita conoscenza del RGPD;
– familiaritร con le operazioni di trattamento svolte;
– familiaritร con tecnologie informatiche e misure di sicurezza dei dati;
25
– conoscenza dello specifico settore di attivitร e dellโorganizzazione del titolare/del
responsabile:
– capacitร di promuovere una cultura della protezione dati allโinterno dellโorganizzazione del
titolare/del responsabile.
Fonte: art. 37, paragrafo 5, RGPD
Posizione del RPD
9. Quali sono le risorse che titolare o responsabile dovrebbero mettere a
disposizione del RPD?
Il RPD deve disporre delle risorse necessarie per assolvere i propri compiti.
A seconda della natura dei trattamenti, e delle attivitร e dimensioni della struttura del titolare
o del responsabile del trattamento, il RPD dovrebbe poter contare sulle seguenti risorse:
– supporto attivo della funzione di RPD da parte del senior management;
– tempo sufficiente per lโespletamento dei compiti affidati;
– supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature,
strumentazione) e, ove opportuno, personale;
– comunicazione ufficiale della designazione del RPD a tutto il personale;
– accesso garantito ad altri servizi allโinterno della struttura del titolare/del responsabile
in modo da ricevere tutto il supporto, le informazioni o gli input necessari;
– formazione permanente.
Fonte: art. 38, paragrafo 2, RGPD
10. Quali sono le garanzie che possono consentire al RPD di operare con
indipendenza? Cosa significa โconflitto di interessiโ?
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente:
– nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo
svolgimento dei compiti affidati al RPD;
– nessuna penalizzazione o rimozione dallโincarico in rapporto allo svolgimento dei
compiti affidati al RPD;
– nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.
Gli โaltri compiti e funzioniโ del RPD non devono comportare conflitti di interessi. Ciรฒ
significa, in primo luogo, che il RPD non puรฒ rivestire, allโinterno dellโorganizzazione del
titolare o del responsabile, un ruolo che comporti la definizione delle finalitร o modalitร del
trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per
caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile.
A grandi linee, possono sussistere situazioni di conflitto allโinterno dellโorganizzazione con
riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo,
responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane,
26
responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime
comportano la determinazione di finalitร o mezzi del trattamento. Inoltre, puรฒ insorgere un
conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o
il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Fonte: art. 38, paragrafi 3 e 6, RGPD
Compiti del RPD
11. Che cosa si intende per โsorvegliare lโosservanzaโ
Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,
– la raccolta di informazioni per individuare i trattamenti svolti;
– lโanalisi e la verifica dei trattamenti in termini di loro conformitร , e
– lโattivitร di informazione, consulenza e indirizzo nei confronti di titolare o
responsabile.
Fonte: art. 39, paragrafo 1, lettera b), RGPD
12. Il RPD รจ personalmente responsabile in caso di inosservanza degli obblighi in
materia di protezione dei dati?
No, il RPD non รจ responsabile personalmente in caso di inosservanza degli obblighi in
materia di protezione dei dati. Spetta al titolare o al responsabile del trattamento garantire ed
essere in grado di dimostrare che il trattamento รจ effettuato conformemente al regolamento.
La responsabilitร di garantire lโosservanza della normativa in materia di protezione dei dati
ricade sul titolare / sul responsabile del trattamento.
13. Quale ruolo spetta al RPD con riguardo alla valutazione di impatto sulla
protezione dei dati e alla tenuta del registro dei trattamenti?
Per quanto concerne la valutazione di impatto sulla protezione dei dati, il titolare o il
responsabile dovrebbero consultarsi con il RPD, fra lโaltro, sulle seguenti tematiche:
– se condurre o meno una DPIA;
– quale metodologia adottare nel condurre una DPIA;
– se condurre la DPIA con le risorse interne ovvero esternalizzandola;
– quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i
rischi per i diritti e gli interessi delle persone interessate;
– se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte
(procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi ai
requisiti in materia di protezione dei dati.
27
In merito al registro dei trattamenti, la sua tenuta รจ un obbligo che ricade sul titolare o sul
responsabile, e non sul RPD. Cionondimeno, niente vieta al titolare o al responsabile del
trattamento di affidare al RPD il compito di tenere il registro delle attivitร di trattamento sotto
la responsabilitร del titolare o del responsabile stesso. Tale registro va considerato uno degli
strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del
regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
Fonte: art. 39, paragrafo 1, lettera c) e art. 30, RGPD
Bruxelles, 13 dicembre 2016
Per il Gruppo di lavoro
La presidente
Isabelle FALQUE-PIERROTIN
Versione emendata e adottata in data 5 aprile 2017
http://194.242.234.211/documents/10160/0/Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29+-+WP+243.pdf
