La figura del RPD
Il Regolamento Europeo 679/2016 ha previsto l'istituzione della figura del Responsabile della Protezione dei Dati (RPD) alias Data Protection Officer (DPO).
Il Responsabile della Protezione dei Dati è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
L'articolo 39 del Regolamento specifica nel dettaglio i compiti minimi del RPD, così riassunti in estrema sintesi: informare e fornire consulenza; sorvegliare l'osservanza delle norme; fornire pareri su richiesta; interfacciarsi e cooperare con l'autorità di controllo.
Il lavoro del RPD deve svolgersi in assoluta autonomia e indipendenza e deve essere tempestivamente e adeguatamente coinvolto, in tutte le questioni inerenti la protezione dei dati, nonché sostenuto nell'esecuzione dei suoi compiti, sia dal Titolare che dal Responsabile del trattamento.
Il Regolamento prevede altresì che il designato sia tenuto al segreto e alla riservatezza.
Nel Regolamento sono specificati i casi in cui il RPD deve essere obbligatoriamente designato.
Differentemente, non rientrando nelle casistiche previste, è lasciata facoltà se designarlo formalmente o anche solo semplicemente per dotarsi della consulenza di un esperto, finalizzata a prevenire situazioni di rischio e farsi assistere in caso di problemi.
Tale figura può essere selezionata tra i dipendenti del Titolare e del Responsabile del trattamento, oppure può essere un libero professionista, esterno e autonomo, ingaggiato stipulando un apposito contratto.
L'introduzione della figura del RPD è finalizzata a designare un esperto in materia, specializzato, che si occupi della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato.
È chiaro, quindi che, se le imprese vogliono garantire standard di sicurezza ottimali, devono nominare tali figure anche laddove ciò non sia obbligatorio per legge, preferibilmente affidando tale compito a soggetti terzi ed esterni. Ciò per consentire di non intaccare la normale operatività dei dipendenti, che restano dedicati alle loro normali attività.
