Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento europeo in materia di protezione dei dati personali, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Sul sito internet del Garante Privacy sono state pubblicate le linee guida sulla figura dei responsabili della protezione dei dati (RPD), aggiornata al 6 febbraio 2017, oltre ad una serie di FAQ che rispondono, in modo chiaro e sintetico, ad alcune delle principali domande rispetto al nuovo obbligo di designazione di un RPD fissato nel citato regolamento.
Al primo quesito (Chi è tenuto a designare un RPD?), il Garante risponde che sono tre i casi in cui il Regolamento Generale sulla Protezione dei Dati (RGPD) prevede la designazione obbligatoria di un RPD:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente, conclude il Garante, che la designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell’Ue. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” (WP29) incoraggia un approccio di questo genere.


