GDPR: dal Garante nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato
Il 25 maggio 2018 si cominceranno ad applicare le nuove regole sul trattamento dei dati personali previste dal Regolamento UE n. 679/2016 (GDPR – General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchรฉ alla libera circolazione di tali dati (in vigore dal 24 maggio 2016).
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Al fine di fornire informazioni utili sul Responsabile della Protezione dei Dati (RPD) in ambito privato, il Garante per la protezione dei dati personali ha pubblicato le seguenti FAQ.
1. Chi รจ il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer โ DPO) รจ una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autoritร (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonchรฉ delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalitร adeguato alla complessitร del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui รจ chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.
3. Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attivitร (in primis, le attivitร c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. leย “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017). Il diritto dell’Unione o degli Stati membri puรฒ prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; societร finanziarie; societร di informazioni commerciali; societร di revisione contabile; societร di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; societร operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; societร operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; societร di call center; societร che forniscono servizi informatici; societร che erogano servizi televisivi a pagamento.
Intermezzo promozionale ... continua la lettura dopo il box:
4. Chi sono i soggetti per i quali non รจ obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non รจ obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attivitร “accessoria”).
In ogni caso, resta comunqueย raccomandata, anche alla luce del principio diย “accountability”ย che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
5. ร possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?
Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purchรฉ tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilitร ”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrร essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autoritร di controllo.
6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o puรฒ essere anche un soggetto esterno? Quali sono le modalitร per la sua designazione?
Il ruolo di responsabile della protezione dei dati personali puรฒ essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtร operativa in cui avvengono i trattamenti; l’incarico puรฒ essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrร nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrร avere le medesime prerogative e tutele di quello interno, dovrร operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonchรฉ ogni altra utile informazione in rapporto al contesto di riferimento.
Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrร ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).
I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non รจ necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autoritร di controllo. A tal fine, allo stato, รจ possibile utilizzare il modello di cui al seguente linkย clicca qui.
7. Ilย ruolo di responsabile della protezione dei dati personali รจ compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalitร e alle modalitร del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
8. Il responsabile della protezione dei dati personali รจ una persona fisica o puรฒ essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtร organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrร essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrร essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).
Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autoritร di controllo.
https://www.lavoripubblici.it/news/2018/03/PROFESSIONE/20052/GDPR-dal-Garante-nuove-FAQ-sul-Responsabile-della-Protezione-dei-Dati-RPD-in-ambito-privato
