Responsabile dei dati personali: i chiarimenti del Garante Privacy

Lo scorso 15 dicembre, il Garante della Privacy ha pubblicato sul proprio sito istituzionale nuove FAQ, attraverso le quali ha fornito chiarimenti in merito alla nomina e alla funzione del Responsabile della protezione dei dati personali (RPD), alla luce del nuovo Regolamento n. 679/2016.

L'art. 37 del sopracitato Regolamento prevede che il RPD debba essere obbligatoriamente nominato quando si ratti di un'autorità pubblica o un organismo pubblico, di un soggetto la cui attività richiede per natura il monitoraggio su ampia scala dei dati personali oppure i soggetti che trattano necessariamente una ingente quantità di dati sensibili (ad esempio, relativi a salute, vita sessuale, ecc.).

Attraverso le FAQ, il Garante Privacy ha specificato che, per individuare concretamente cosa il Regolamento intenda per autorità pubblica o organismo pubblico, occorre fare riferimento al diritto nazionale e, nel caso di specie, al D.Lgs. n. 196/2003 che dall'art. 18 e seguenti individua nello specifico di quali soggetti si tratti.

Inoltre, l'Autorità precisa, collegandosi all'art. 38 del Regolamento n. 679, che sarebbe preferibile nominare il Responsabile della protezione dei dati personali tra i dirigenti o i funzionari ad alta professionalità, in modo da esso sia autonomo, indipendente ma connesso ai soggetti apicali.

Relativamente alla nomina del RPD il Garante Privacy precisa che occorre un atto designativo che contenga i motivi per cui si è scelto un determinato soggetto e i compiti ad esso assegnati. Fondamentale la circostanza che vi sia un unico Responsabile all'interno ci ciascuna organizzazione, in modo da non generare dubbi circa le eventuali responsabilità connesse alla protezione dei dati personali.