Pubblicato recentemente un documento del Comitato Europeo per la protezione dei dati personali che richiama l’attenzione sull’importanza del Responsabile della Protezione Dati (RPD) in azienda.

Obiettivo del documento è sensibilizzare i titolari del trattamento sull’importanza di questo ruolo, spesso mal compreso o sottovalutato in moltissime organizzazioni. La pubblicazione evidenzia anche le principali problematiche riscontrate nell’attuazione delle norme vigenti che afferiscono a questo ruolo.

Chi è il Responsabile della Protezione Dati

Il RPD è la figura privacy che supporta il titolare del trattamento per garantire il pieno rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR). Sebbene sia un organo di supporto e consiglio, senza poteri esecutivi, il RPD ha accesso diretto ai vertici dell’organizzazione per segnalare eventuali situazioni di rischio specifiche relative al trattamento dei dati personali.

Secondo il GDPR, tutte le autorità pubbliche e i titolari di dati privati che trattano dati ad alto rischio (o dati sensibili su larga scala) sono obbligati a designare un RPD. Tuttavia, il rapporto del Comitato Europeo evidenzia anche che molti titolari non hanno ancora compreso appieno l’importanza di questa designazione e mancano di nominare (o nominano inadeguatamente) il RPD.

Un ruolo non ancora chiaro

Ciò deriva da tre criticità ben evidenziate nel documento CE:

	Scegliere piattaforme affidabili: è meglio utilizzare solo siti con una reputazione consolidata per la sicurezza e la protezione dei dati. Lo storico del portale e le recensioni e valutazioni degli altri utenti permettono di valutare la loro affidabilità;
	Verifica della sicurezza del sito: è opportuno assicurarsi che il sito di prenotazione scelto utilizzi una connessione sicura (HTTPS) e che mostri certificati di sicurezza riconosciuti;
	Leggere sempre le privacy policy: prima di accettare i termini di utilizzo e di fornire qualsiasi informazione personale, è necessario leggere attentamente le politiche sulla privacy del sito. In queste informative sono indicati i dati che verranno raccolti e come verranno utilizzati e condivisi;

• Scarsità di risorse messe a disposizione di questa figura: il GDPR prevede che i titolari del trattamento mettano a disposizione del RPD le risorse necessarie per svolgere al meglio il proprio lavoro (spazi ufficio adeguati, attrezzature di supporto, procedure operative etc.) che non sempre invece vengono fornite;
• Mancanza di chiarezza sui ruoli e le responsabilità del RPD, specialmente sulla sua facoltà di accedere rapidamente ai vertici dell’organizzazione in caso di rischi specifici, per la quale molte organizzazioni non hanno ancora elaborato procedure chiare;
• Possibili conflitti di interessi nella nomina del responsabile: come conseguenza diretta della mancata chiarezza del ruolo di RPD, le nomine possono rivelarsi inadeguate perché inficiate da possibili conflitti di interessi che compromettono la sua efficacia e l’integrità del trattamento dei dati personali.

Dopo aver fatto luce sui fattori che impediscono la piena operatività di una figura così importante, il documento sottolinea la necessità di un intervento più incisivo da parte delle autorità nazionali. Il loro compito è quello di incrementare la informazione presso le aziende aumentando la consapevolezza in materia, e di rendersi disponibili ed efficienti nel caso di segnalazioni attivate dai RPD.

Capita spesso, invece, che i responsabili che segnalano anomalie alle autorità di supervisione non trovino sufficiente riscontro e che manchi l’attivazione di procedure protettive. Il Comitato Europeo esorta quindi le autorità nazionali a intervenire in modo più concreto per garantire che i RPD possano svolgere il loro ruolo in conformità con il GDPR.

In conclusione, il riconoscimento del valore della figura del RPD da parte delle aziende è uno step imprescindibile per una reale protezione dei dati personali all’interno delle organizzazioni.

Con una maggiore consapevolezza e una più completa formazione, insieme al supporto delle autorità nazionali, è possibile promuovere una cultura aziendale attenta e responsabile nella gestione della privacy.

Leggi anche  Responsabile protezione dati (DPO) in azienda: attenzione ai criteri per la nomina