Tra i quesiti chiariti dall’Autorità si evidenzia quello relativo ai soggetti privati obbligati alla designazione dell’RDP, che sono stati individuati dal Garante a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Tra i quesiti chiariti dal Garante, le cui risposte possono risultare di primaria utilità per i titolari che si trovano in questi ultimi due mesi ad affrontare l’adeguamento al GDPR, si evidenzia quanto indicato in ordine alla domanda: “Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?” ovvero: “Sì, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.).
Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).”
Altra indicazione importante risulta quella fornita rispetto al quesito: “Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali? ” ovvero: “Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: vedi anche il Considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).
In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (vedi, in proposito, le menzionate Linee Guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”
Ultimo aspetto da evidenziare, oltre alle altre indicazioni riportate nelle FAQ, risulta la messa a disposizione da parte del Garante del format riferito al modello comunicazione al garante dei dati del DPO-RPD ” (anche se “non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo”).
[ L’elaborazione dei testi, anche se curata e revisionata in base alle leggi vigenti all’epoca della pubblicazione, non può comportare specifiche responsabilità per eventuali errori o inesattezze, e non può essere considerata consulenza specifica. Si consiglia di verificare se sono state emanate delle norme o delle disposizioni ministeriali successive che ne hanno modificato il trattamento ]