Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni. In entrambi i casi, i soggetti designati devono essere in grado di garantire l'effettivo assolvimento dei compiti che il RGPD assegna a tale figura. Il RPD scelto all'interno andrà nominato mediante specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto (cfr. art. 37, par. 6 del RGPD, ove si fa riferimento al “contratto di servizi”). Tali atti, da redigere in forma scritta, dovranno contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell'esecuzione dei propri compiti, il RPD (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento mantengono comunque la piena responsabilità in ordine all’osservanza della normativa in materia di protezione dei dati.

Riferimenti normativi: artt. 37 e 38, RGPD; c. 97, RGPD.

Fonte: GARANTE https://www.garanteprivacy.it/faq-sul-responsabile-della-protezione-dei-dati-rpd-in-ambito-privato