>> Entra nel nuovo Canale WhatsApp di Lavoro e Diritti
di Daniele Bonaddio - 29 Marzo 2018
Privacy: Responsabile della protezione dei dati RPD, faq e modello nomina
In vista dell’entrata in vigore del nuovo Regolamento (UE) 2016/679 sulla protezione dei dati personali, prevista per il prossimo 25 maggio 2018, e della conseguente abrogazione del decreto legislativo 30 giugno 2003, n. 196, sul sito del garante della privacy sono stati pubblicati otto faq sul ruolo del Responsabile della protezione dei dati RPD in ambito privato.
Intanto il governo nel Consiglio dei ministri del 21 marzo 2018 ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il responsabile della protezione dei dati personali RPD è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo.
Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
Il responsabile della protezione dei dati personali RPD, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti. L’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura.
L’RPD scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti. Vanno inoltre indicate le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Non bisogna dimenticare che il nominativo dell’RPD e i relativi dati di contatto vanno comunicati all’Autorità di controllo.
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali RPD possa essere un “dipendente” del titolare o del responsabile del trattamento. Nelle realtà organizzative di medie e grandi dimensioni, l’RPD, da individuarsi comunque in una persona fisica. Questi potrà essere supportato anche da un apposito ufficio competente.
Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica.
Di seguito alleghiamo il Modello nomina RPD per la comunicazione al Garante dei dati del responsabile della protezione dei dati personali. Per tutte le FAQ aggiornate seguire il seguente link.