Il regolamento generale sulla protezione dei dati (RGPD), che esplicherà i propri effetti a partire dal 25 maggio 2018, offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability). I responsabili della protezione dei dati (RPD) saranno al centro di questo nuovo quadro giuridico in molti ambiti, e saranno chiamati a facilitare l’osservanza delle disposizioni del RGPD. In base al RGPD, alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD2. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici,indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali.
Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” (Gruppo di lavoro) incoraggia gli approcci di questo genere. La figura del RPD non costituisce una novità assoluta. La direttiva 95/46/CE3 non prevedeva alcun obbligo di nomina di un RPD, ma in molti Stati membri questa è divenuta una prassi nel corso degli anni. Ancor prima dell’adozione del RGPD, il Gruppo di lavoro ha sostenuto che questa figura rappresenti un elemento fondante ai fini della responsabilizzazione, e che la nomina del RPD possa facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese. Oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio,supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i RPD fungono da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.
I RPD non rispondono personalmente in caso di inosservanza del RGPD. Quest’ultimo chiarisce che spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (articolo 24, paragrafo 1). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento.
Inoltre, al titolare del trattamento o al responsabile del trattamento spetta il compito fondamentale di consentire lo svolgimento efficace dei compiti cui il RPD è preposto. La nomina di un RPD è solo il primo passo, perché il RPD deve disporre anche di autonomia e risorse sufficienti per svolgere in modo efficace i propri compiti.
Il RGPD riconosce nel RPD uno degli elementi chiave all’interno del nuovo sistema di governance dei dati, e prevede una serie di condizioni in rapporto alla nomina, allo status e ai compiti specifici. Le presenti linee guida intendono fare chiarezza sulle pertinenti disposizioni del regolamento al fine di favorire l’osservanza della normativa da parte di titolari del trattamento e responsabili del trattamento; inoltre, le linee guida vogliono essere di ausilio ai RPD nell’esecuzione dei compiti loro attribuiti. Il presente documento contiene anche alcune raccomandazioni, in termini di migliori prassi, che scaturiscono dall’esperienza accumulata in alcuni Stati membri. Il Gruppo di lavoro monitorerà l’attuazione delle linee guida qui presentate e provvederà alle integrazioni che si riveleranno opportune.
Commenti