Il Garante per la protezione dei dati personali, in data 3 febbraio 2017, ha pubblicato sul proprio sito:
– le Linee-guida sui responsabili della protezione dei dati (RPD) adottate il 13 dicembre 2016;
– le relative FAQ;
– in lingua italiana.
Nelle FAQ viene evidenziato che è obbligatoria la designazione di un RPD:
– se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
– se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
– se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Inoltre, il RPD può far parte del personale del titolare o del responsabile del trattamento (RPD interno) ovvero “assolvere i suoi compiti in base a un contratto di servizi”.
In quest’ultimo caso il RPD sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica.
Tuttavia dalle FAQ si apprende che il RPD non è responsabile personalmente in caso di inosservanza del regolamento ma la responsabilità di garantire l’osservanza della normativa in materia di protezione dei dati ricade sul titolare / sul responsabile del trattamento.