Con l’entrata in vigore del GDPR nasce una corrente di pensiero secondo cui, ancora non ho capito su che base, il RTDP aziendale non s’ha più da nominare.

Forse perché l’art. 28/679/2016, con riguardo alla sua nomina fa riferimento alla stipulazione di un contratto e, quindi, a qualunque altro atto giuridico? … e che per questo motivo suona male stipulare un contratto ad hoc nei confronti di un dipendente?
[A riguardo invito alla lettura del mio articolo: Il RTDP ed il DPO quali figure interne all’Azienda in adempimento al Reg. UE 679/2016 con riguardo al trattamento dei dati personali].

C’è, sembrerebbe, la naturale propensione a pensare, per il RTDP, esclusivamente ad un professionista esterno o ad una società di consulenza esterna, rispetto al TTDP (Titolare del Trattamento dei Dati Personali).

Se però pensiamo a tutte quelle organizzazioni che, indipendentemente dal ricorso ad un consulente, decidono di strutturarsi adeguatamente, è del tutto ragionevole che al proprio interno nominino uno o più RTDP (persone fisiche).

D’altra parte occorre ricordare che l’art. 4 definisce Responsabile del Trattamento dei Dati Personali (RTDP) la persona fisica (o giuridica, l’autorità pubblica, il servizio o altro organismo) che tratta dati personali per conto del titolare del trattamento e mi viene strano credere che, diversamente, la materia della protezione dei dati personali venga gestita e monitorata direttamente dal Rappresentante legale della società (di capitali) in tutt’altre faccende affaccendato.

Nei suddetti termini, allora, si scopre che la nomina del RTDP diventa necessaria e non più facoltativa, quanto meno per alleggerire le incombenze al TTDP.
Nomina, fra l’altro, ben più versatile di quella del RPD/DPO per la quale – a parità di altri presupposti – occorre dare idonee garanzie riguardo al rischio di possibili conflitti d’interesse.

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121