EntiOnLine
Categorie
indietro
01/02/2018 GARANTE: Soggetti tenuti alla designazione del RPD

Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell'art. 37, par. 1, lett. a), del RGPD?

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

L'art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un'autorita' pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di "autorita' pubblica" o "organismo pubblico" e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l'individuazione al diritto nazionale applicabile.(1)

Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell'ambito di applicazione degli artt. 18 - 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le universita', le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorita' indipendenti ecc.).

Occorre, comunque, considerare che:

  • nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualita', ad esempio, di concessionari di servizi pubblici), puo' risultare comunque fortemente raccomandato, ancorche' non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti - in termini di criteri per la designazione, posizione e compiti - che valgono per i RPD designati in via obbligatoria.(2)

(1) Cfr. al riguardo il par. 2.1.1., pag. 6, delle Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017 (WP243 rev. 01), disponibili sul sito istituzionale dell'Autorita' (doc. web n. 5930287).

2) Anche in caso di assenza del requisito soggettivo previsto dall'art. 37, par. 1, lett. a), del RGPD, il titolare o il responsabile del trattamento sono comunque tenuti alla designazione del RPD, ai sensi di quanto previsto dall'art. 37, par. 1, lett. b) e c), nel caso in cui le attività principali consistano:

  • in trattamenti che, per loro natura, ambito di applicazione e/o finalita', richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;

  • nel trattamento su larga scala di categorie di dati personali di cui all'art. 9 del RGPD o dei dati relativi alle condanne penali e a reati di cui all'art. 10 del RGPD.

Con riferimento all'interpretazione delle espressioni «attivita' principali», «larga scala» e «monitoraggio regolare e sistematico» vedasi quanto riportato nelle Linee guida.

Fonte: Autorità Garante

Banca dati