Il tema del nuovo Regolamento generale europeo sulla protezione dei dati resta molto caldo in queste settimane. Del resto la data del 25 maggio, termine ultimo per mettersi in regola, si avvicina e sono ancora molte le questioni che meritano approfondimento. Fra queste spiccano senza dubbio quelle relative alla designazione da parte degli enti pubblici dei propri Responsabili della protezione dei dati (RPD).
Proprio di recente il Garante per la privacy ha fornito, sul sito dell’Autorità, una serie di indicazioni utili relativamente proprio alla figura del Responsabile della protezione dei dati in ambito pubblico. Eccole a grandi linee:
CHI DEVE NOMINARE UN RESPONSABILE DELLA PRODTEZIONE DATI
Il nuovo Regolamento generale europeo sulla protezione dei dati, spiega il Garante, prevede che i titolari del trattamento dei dati nominino un Responsabile della protezione dati nei casi in cui “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Va considerato però, prosegue il Garante, anche il caso in cui “soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD“.
QUALIFICA DEL RESPONSABILE DELLA PROTEZIONE DATI
Su questo punto il nuovo regolamento non fornisce spiegazioni specifiche. Tuttavia il Garante suggerisce alcuni utili indicazioni, soprattutto per i casi in cui viene scelta una figura interna. Sarebbe preferibile, infatti, che qualora la struttura organizzativa lo consenta, “la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione“.
CERTIFICAZIONI E COMPETENZE IDONEE PER IL RESPONSABILE PROTEZIONE DATI
Un altro tema di particolare interesse è quello relativo alle competenze del Responsabile della Protezione Dati e in particolare alle certificazioni che vengono rilasciate tramite appositi corsi su cui il Garante fa una netta precisazione: “Pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una ‘abilitazione’ allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD(3)“.
CON QUALE ATTO VIENE NOMINATO IL RESPONSABILE PROTEZIONE DATI
Secondo l’art. 37, par. 1 del nuovo regolamento, il titolare e il responsabile del trattamento dei dati nominano il Responsabile della Protezione. Quindi l’atto è la nomina stessa.
Nel caso di designazione di una figura professionale interna all’ente, è necessario invece un apposito atto di nomina a “Responsabile per la protezione dei dati“.
Nell’ipotesi in cui, invece, venga nominato un soggetto esterno all’ente, “la designazione – spiega il Garante – costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD(4) (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione)“.
NOMINARE PIU’ DI UN RESPONSABILE
Onde evitare il rischio di sovrapposizioni, secondo il Garante della privacy, il Responsabile della Protezione dei dati può essere uno solo. Possono essere nominate invece delle figure di supporto con mansioni specifiche.
Per approfondire ancora meglio il ruolo del Responsabile della Protezione Dati vi consigliamo di consultare nel dettaglio le nuove indicazioni fornite dal Garante della Privacy 0 e le Linee guida principali.
LEGGI ANCHE:
Joy System e Sync Lab: consulenza a 360 gradi sul nuovo regolamento europeo sui dati personali
A quanto ammontano le multe per aziende che non si adeguano al nuovo Regolamento Europeo sulla protezione dei dati aziendali?
Quando entrerà in vigore il nuovo Regolamento Europeo sulla protezione dei dati?
