Negli ultimi anni, tutte le aziende hanno dovuto dotarsi di una nuova figura professionale operante nell’ambito della tutela dei dati. Stiamo parlando del Responsabile per la Protezione dei Dati (RPD), anche Data Protection Officer (DPO). Introdotta al Regolamento europeo in materia di protezione di dati personali 2016/679 | GDPR, questa figura si occupa di supportare il Titolare del Trattamento privacy in aziende pubbliche e private, in enti, associazioni e in ogni soggetto che tratti dati sensibili relativamente all’applicazione del Regolamento sopracitato. L’obbligatorietà di introdurre questa figura vige dal 25 maggio 2018, data di entrata in vigore del GDPR, come ricordato all’ultimo seminario o conferenza sulla privacy di cui abbiamo parlato sul nostro blog.
Nello specifico, l’RDP deve essere obbligatoriamente nominato in quei soggetti la cui attività principale consista nel trattamento di dati sensibili su larga scala (ad esempio trattamento di dati relativi ai pazienti svolto da un ospedale, trattamento dei dati relativi alla clientela da parte di banche o compagnie assicurative, trattamento di dati da parte di fornitori di servizi telefonici o telematici, etc). Di cosa si occupa? Un RDP può gestire l’incontro o firma per il trattamento dei dati e sorveglia l’osservanza del regolamento UE, collabora con il titolare/responsabile nel condurre valutazioni d’impatto sulla protezione dei dati, sensibilizza lo stesso ed i dipendenti riguardo gli obblighi derivanti dal regolamento e cooperare con il Garante per la protezione dei dati personali su ogni questione connessa al trattamento dei dati.
Quali sono i requisiti principali di un RPD?
- In primis, l’RPD deve Possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Il Regolamento UE non indica precisi requisiti, limitandosi a menzionare la necessità di qualifiche professionali.
- In secondo luogo, l’RDP deve adempiere alle sue mansioni in piena indipendenza e senza conflitti di interesse.
- Infine, L’RDP è tenuto a operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD esterno).
Dai requisiti sopraelencati, emerge dunque che per diventare RPD non sia necessaria una specifica attestazione formale o l’iscrizione in appositi albi. Esistono tuttavia dei corsi di formazione per approfondire la conoscenza del Regolamento UE ed acquisire il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali. I corsi, sia gratuiti che a pagamento, vengono erogati da associazioni ed università e prevedono generalmente il superamento di una prova per conseguire un attestato.