Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali marcellocolaianni62

Il GDPR, ovvero il Reg. UE 679/2016, conferma la figura del Responsabile del Trattamento dei Dati Personali (RTDP) ed introduce quella nuova di Data Protection Officer (DPO), ovvero di Responsabile della Protezione dei Dati.

Come da relativa definizione, <<responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento>>, si evince che il RTDP può essere un dipendente dell’Organizzazione.

Ciò nonostante, dalla partecipazione a convegni e dal confronto con esimi colleghi, mi sento dire che la prassi sarà quella di affidare in outsourcing i compiti attribuiti a questo soggetto della Data Protection.
Non capisco il perché? Non c’è alcun ostacolo o impedimento di carattere normativo che precluda la nomina di un dipendente al ruolo di RTDP.

La contrattualizzazione ad hoc del rapporto fra il Titolare del Trattamento dei Dati Personali (TTDP) ed il RTDP non impedisce che sia un dipendente a ricoprire siffatto ruolo.

In concreto: laddove sussista già un rapporto di lavoro, il dipendente designato ed il suo datore di lavoro sottoscriveranno, a latere, un contratto apposito nel quale le parti concordano compiti e doveri del RTDP nonché un compenso ed un inquadramento proporzionato al ruolo ed alle nuove responsabilità.

Va da sé che in questa sede si dovrà tenere in debita considerazione l’esistenza dei presupposti in materia di competenze e di altre skill che ci si aspetta che un RTDP abbia, la sua collocazione nell’organigramma nonché i termini e le modalità di riconoscimento di questo compenso aggiuntivo.

Laddove, invece, venisse identificato un dipendente nominato ad hoc, il contratto in discorso andrà ad integrare quello riguardante il rapporto di lavoro dipendente.

Analogo discorso vale per il DPO per il quale è stabilito che: “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi”.

Il DPO, è vero, è in conflitto di interessi se ricopre ruoli come quelli di amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT, o altre posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento …

… A meno che si identifichi un dipendente che, in via esclusiva, svolge i compiti propri di un DPO senza sovrapposizioni di sorta.

Anche in questo caso, ben inteso, vanno debitamente considerate le competenze dure e morbide che gli sono proprie, il rapporto gerarchico con il vertice aziendale e, quindi, la sua adeguata collocazione in organigramma e, naturalmente, il riconoscimento anche economico in virtù del proprio ruolo e dei suoi compiti.

Le suddette considerazioni sono volte a chiarire gli effettivi margini di manovra per qualunque Organizzazione sebbene, operativamente, la decisione di nominare un RTDP interno possa rivelarsi non semplice per una serie di motivi.

Ciò premesso, identificate le molteplici figure della Data Protection, il ricorso ai consulenti esterni è sicuramente utile ed opportuno.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121

2017-07-05T16:06:53+00:00 5 Luglio, 2017|Press|