di Giuditta Savonitto

 

Dal 25 maggio 2018 si applica il Regolamento UE 2016/679 relativo alla protezione dei dati personali delle persone fisiche, meglio conosciuto con l’acronimo di “GDPR” (General Data Protection Regulation). Le caselle email di tutta Europa sono state inondate di messaggi informativi di aggiornamento alla nuova privacy. Quella a cui abbiamo appena assistito è stata una vera e propria corsa verso l’adeguamento.

Le incertezze e i dubbi non sono mancati e non mancano. Come devo procedere? Rientro anche io nei soggetti obbligati all’adeguamento? Devo o non devo nominare il Responsabile della Protezione dei Dati?

Queste e altre le domande che ogni professionista si è posto. In aiuto è arrivato il Garante della Privacy che con una serie di FAQ ha risposto in maniera semplice ed immediata ad alcuni dei quesiti che da mesi attanagliano soprattutto le realtà professionali più modeste. In particolare, il Garante si è soffermato sulla figura del Responsabile della Protezione dei Dati (RPD). La figura in questione è una persona fisica designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo circa la corretta applicazione della nuova normativa, costituendo il punto di contatto tra il titolare dei dati e l’Autorità.

Ma la sua designazione in ambito privato non è obbligatoria per tutti. Il Garante ha infatti precisato che, al di fuori dei casi previsti dall’articolo 37, par. 1, lett. b) e c) del Regolamento, ossia soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, la designazione del RDP non è imposta. Sono perciò esclusi a titolo esemplificativo i liberi professionisti operanti in forma individuale, le imprese individuali o familiari, e le piccole e medie imprese con riferimento ai trattamenti dei dati di fornitori e dipendenti. Un respiro di sollievo per le attività commerciali e professionali più modeste, ma che costituiscono una realtà numericamente ed economicamente molto significativa.

Il Garante ha però precisato che, nonostante la mancanza di un obbligo legale, è sempre consigliabile designare tale responsabile poiché, alla luce del principio di accountability, il titolare del trattamento deve saper dimostrare di avere adottato un processo complessivo di misure per la protezione dei dati personali.