General Data Protection Regulation (GDPR)

Regolamento Europeo in materia di protezione dei dati personali (Regolamento UE 2016/679).


Con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Una delle principali novità del Regolamento generale sulla protezione dei dati è l'introduzione del Data Protection Officer (DPO - in italiano Responsabile della protezione dei dati, o RPD).

Chi è il RPD?

Il RPD è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati. Può essere interno all’organizzazione del titolare (es. dipendente) oppure un soggetto esterno e autonomo vincolato da un contratto di servizi. In entrambi i casi, con la nomina, è necessario rendere pubblici i dati di contatto del RPD per consentire ai soggetti interessati di potervisi rivolgere senza dover ricorrere ad intermediari.

Quali sono i compiti del RPD?

I compiti che il RPD è tenuto a svolgere sono elencati all’articolo 39 del Regolamento generale sulla protezione dei dati (GDPR). In linea di principio, tale soggetto organizza la gestione del trattamento dei dati personali in modo che le normative siano osservate e fornisce consulenza al titolare o al responsabile del trattamento in merito ai loro obblighi. Informa, inoltre, tutte le figure coinvolte riguardo le soluzioni tecniche da adottare per rispettare gli standard imposti.
Il RPD è coinvolto, dai soggetti designati alla sua nomina, in tutte le questioni riguardanti la protezione dei dati personali, ricevendo dagli stessi le risorse necessarie per assolvere ai suoi compiti senza però che gli sia impartita alcuna istruzione circa l’espletamento della sua funzione. L’articolo 38 del Regolamento stabilisce, altresì, che tale soggetto debba riferire del suo operato direttamente al vertice gerarchico del titolare o del responsabile del trattamento e che non possa essere rimosso o penalizzato per l’esercizio dei suoi compiti (ad esempio, quando formuli una raccomandazione non condivisa dal titolare o dal responsabile).

Chi deve nominare il RPD?

La designazione del RPD da parte del titolare può essere obbligatoria, nei casi previsti dalla legge, o facoltativa.
Il titolare del trattamento e il responsabile del trattamento sono tenuti a designare un responsabile della protezione dei dati ogniqualvolta:
  1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali.
In tutti gli altri casi, la nomina del RPD è facoltativa.

Devi organizzare la transizione al digitale?
Il GDPR ti preoccupa e non sai come organizzarti?

Non aspettare, accedi al nostro assessment test.
Ti invieremo un report gratuito e personalizzato sullo stato di maturità del tuo Ente in questo ambito! 

Richiedi il test sul GDPR