Il responsabile del trattamento dei dati (RTD) è un soggetto che tratta i dati personali per conto del titolare del trattamento. Il responsabile della protezione dei dati (RPD/DPO) invece è una figura indipendente che affianca titolare e responsabile del trattamento, fornendo loro consulenza e sorvegliando l'osservanza del GDPR.

Per comprendere meglio la figura del Responsabile del Trattamento dei Dati (RTD) e del Responsabile della protezione dei dati (RPD, oppure DPO "Data Protection Officer") è opportuno riprendere velocemente dei concetti di base sulla privacy, così come definiti dal Regolamento UE 2016/679 (GDPR):

• per "trattamento dei dati" si intende "qualsiasi operazione, o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali"

• per "Titolare del trattamento dei dati personali" si intende colui che "singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali"

Il Responsabile del Trattamento dei dati personali (RTD)

Premesso ciò, è utile a questo punto evidenziare che il GDPR all'art. 28 prevede la possibilità di effettuare il trattamento dei dati tramite soggetto diverso dal titolare. Il Regolamento UE infatti stabilisce che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

In sostanza, il responsabile del trattamento dei dati personali è un soggetto, diverso dal titolare del trattamento, al quale vengono delegati dei trattamenti da parte del titolare.

Il trattamento dei dati da parte di un responsabile del trattamento diverso dal titolare deve essere disciplinato da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Inoltre il GDPR prevede specifiche clausole che devono essere contenute nel contratto menzionato, tra le quali spiccano l'obbligo per il responsabile del trattamento di trattare i dati soltanto su istruzione documentata del titolare del trattamento, di impegnarsi alla riservatezza nel trattamento dei dati e più in generale di contribuire e coadiuvare il titolare al rispetto di tutti gli obblighi previsti dal GDPR.

Il Responsabile della Protezione dei dati personali (RPD/DPO)

Il responsabile della protezione dei dati ha invece il compito di affiancare titolare e responsabile del trattamento, fornendo loro consulenza e sorvegliando l'osservanza del GDPR.

Nello specifico, i compiti del responsabile della protezione dei dati sono stabiliti nell'art. 39 del GDPR e sono i seguenti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento dei dati;

b) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati

membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento.

La figura del Responsabile della Protezione dei dati è prevista come obbligatoria in tre situazioni:

• quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico;

• quando e attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

• quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti su larga scala di categorie speciali di dati e/o dati relativi a condanne penali e reati.

Il Regolamento UE prevede che il responsabile della protezione dei dati sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti dallo stesso Regolamento.

Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Conclusioni

Alla luce delle caratteristiche sopra descritte, emerge l'aspetto che differenzia maggiormente le due figure:

- il RTD è una figura completamente assoggettata al potere direzionale del titolare del trattamento dei dati, ricevendo da questi istruzioni dettagliate, con l'obbligo di attenervisi

- il RPD/DPO è invece una figura che opera in posizione di autonomia e indipendenza, non dovendo ricevere alcuna istruzione dal Titolare o dal RTD per quanto riguarda l’esecuzione dei propri compiti

E’ possibile trovare approfondimenti sulla privacy nell’Area Riservata del nostro sito internet.

Per qualsiasi ulteriore approfondimento sul presente articolo è possibile contattarci all'indirizzo email info@cplegalstudio.com o tramite il modulo contatti.