Domanda
Nel nostro ente abbiamo cominciato a ragionare sul nuovo Regolamento Europeo sulla privacy, a cui occorre dare attuazione entro il 25 maggio 2018. Guardando le novità ci siamo imbattuti nel responsabile per la protezione dei dati. Si possono avere ulteriori informazioni su questa nuova figura?
Risposta
Senza alcun dubbio, una delle principali novità del regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) è l’obbligo – non previsto prima in Italia – di individuare e nominare un Responsabile per la Protezione dei Dati (RPD). La designazione del RPD è obbligatoria quando “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Le Pubbliche amministrazioni devono, quindi, individuare e nominare una persona esperta di legislazione e pratiche relative alla protezione dei dati, che avrà il compito di assistere colui che li controlla (titolare del trattamento) o li gestisce (responsabile del trattamento), al fine di verificare l’osservanza interna al regolamento.
In particolare il RPD (o DPO – Data Protection Officer, in lingua inglese) dovrà avere le seguenti caratteristiche:
- requisiti professionali, intesi come competenze specialistiche, su normative anche amministrative e pratiche di gestione dati, e capacità di adempiere ai propri compiti, intese come capacità di relazionarsi; informare e formare;
- compiti, tra cui informare e consigliare i responsabili del trattamento sul rispetto del Regolamento europeo, verificare la corretta esecuzione degli adempimenti, fornire dei pareri, qualora richiesti, essere referente per gli interessati, essere referente per il Garante privacy, verificare la corretta tenuta dei registri, vigilare sugli obblighi di formazione delle varie figure coinvolte;
- inquadramento, inteso come personale interno in possesso dei requisiti, anche nella forma della gestione associata tra più enti o contratto esterno (affidamento appalto di servizio) con soggetto privato. Si ritiene la figura possa svolgere altri incarichi e mansioni nell’ente o svolgere lo stesso incarico in più enti, purché non in situazione di conflitto d’interessi;
- indipendenza. Allo stesso dovrà essere garantita: la non rimozione dall’incarico, salve l’ipotesi di giustificato motivo; il divieto di penalizzazione; il contatto diretto coi massimi vertici dell’ente ai quali solamente riferisce l’esito della sua attività. Inoltre, dovrà agire in posizione di autonomia, avendo a disposizione le necessarie risorse finanziare, logistiche ed umane, con accesso ai dati e ai trattamenti, e dovrà poter mantenere la competenza specialistica, con obbligo di formazione e aggiornamento permanente.
Da ultimo, si segnala la necessità di pubblicare, nel sito web, i dati di contatto del RPD (indirizzo postale; email; telefono), nonché l’obbligo di comunicare i dati del RPD al Garante della privacy e a tutto il personale.
A completamento informativo, si riporta uno Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RPD), ai sensi dell’art. 37 del Regolamento UE 2016/679, da adottarsi, in tutte le pubbliche amministrazioni, entro il 25 maggio 2018.