GDPR – Il ruolo del DPO/RPD , quando e chi nominare

Una delle figure chiave introdotte dal nuovo GDPR è il Data Protection Officer (DPO), altrimenti definito Responsabile della Protezione dei Dati (RPD).

L’onere della designazione del DPO/RPD spetta a tutti i soggetti che rientrano nei casi previsti dall’art.37, par.1, lett. B) e C) del Regolamento 2016/679 (UE).

Il presupposto è che si tratti di soggetti il cui core business consista in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di particolari categorie di dati personali come ad esempio reati e condanne penali.

A titolo esemplificativo e non esaustivo, sono quindi tenuti alla nomina: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Per tutti questi soggetti occorre ricordare che il ruolo di Responsabile della Protezione dei Dati Personali DPO/RPD, è una carica compatibile con altri incarichi a patto che non sia in conflitto di interessi.

A mio avviso è sempre preferibile assegnare l’incarico ad un soggetto esterno o a una persona giuridica. In ogni caso è meglio evitare di assegnare il ruolo a soggetti di alta direzione come l’A.D., membri del CdA, D.G. ecc.

Una alternativa è nominare un dipendente del titolare o del responsabile del trattamento (art.37, par.6 del Regolamento).

In tutti i casi una buona regola è procedere ad una chiara ripartizione delle competenze, individuando una sola persona fisica preposta alla interlocuzione con i soggetti interessati e l’Autorità di controllo.


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime