30

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Un nuovo protagonista:

il Responsabile della Protezione Dati

Requisiti, compiti e prerogative del nuovo custode della privacy

nelle organizzazioni

Nella logica di rafforzamento del livello di consapevolezza

del valore della privacy e di richiamo alla responsabilità dei

titolari del trattamento dei dati è stata istituita una figura

sinora sconosciuta alla normativa italiana: il Data Protection

Officer (DPO) o Responsabile della Protezione Dati (RDP)

secondo la terminologia italiana.

Tale figura è prevista dall’articolo 37 del Regolamento ed

è stata precisata nelle Linee Guida redatte dal Gruppo di

Lavoro Art. 29, sostanzialmente obbligatoria per tutte le

Amministrazioni Pubbliche, è incaricata di assicurare una

gestione corretta dei dati personali nell’organizzazione.

L’articolo 37 esordisce, infatti, indicando i casi di nomina

obbligatoria del RPD, ovverosia ogni qualvolta il trattamento

è effettuato da un’autorità pubblica o da un organismo di

diritto pubblico, ad eccezione delle autorità giurisdizionali,

nell’esercizio delle loro funzioni.

In attesa dell’approvazione della legge che abrogherà l’attuale

Codice della Privacy (D. Lgs. 196/2003), che dovrà fornire

la definizione di Autorità pubblica e organismo di diritto

pubblico, si può ritenere che l’obbligo di nomina del RDP,

con riferimento al settore pubblico, debba ricadere sui

medesimi soggetti previsti dal Codice tra cui, ad esempio,

le Amministrazioni dello Stato, anche con ordinamento

autonomo, gli enti pubblici non economici nazionali,

regionali e locali, le Regioni e gli enti locali, le Università, le

Camere di commercio, industria, artigianato e agricoltura,

le aziende del Servizio sanitario nazionale, le autorità

indipendenti.

In tal senso, bisogna tenere presente che potrebbero essere

chiamati alla nomina del RDP, e quindi rientrare nella

previsione di cui all’articolo 37 del Regolamento, non solo i

soggetti pubblici titolari del trattamento, ma anche i soggetti

privati che operino in outsourcing per la PA e che in virtù del

rapporto contrattuale assumano la qualifica di responsabili

del trattamento.

Secondo le indicazioni fornite dal Garante per la protezione

dei dati personali “è opportuno considerare che, nel caso

in cui soggetti privati esercitino funzioni pubbliche (in

qualità, ad esempio, di concessionari di servizi pubblici), può

risultare comunque fortemente raccomandato, ancorché non

obbligatorio, procedere alla designazione di un RPD. In ogni

caso, qualora si proceda alla designazione di un RPD su base

volontaria, si applicano gli identici requisiti - in termini di

criteri per la designazione, posizione e compiti - che valgono

per i RPD designati in via obbligatoria”.

Il GDPR, a supporto delle piccole Amministrazioni,

prevede che più soggetti pubblici possano nominare un

unico RDP, tenuto conto della loro struttura organizzativa e

dimensione mentre, secondo il Garante, non è possibile che

organizzazioni complesse possano nominarne più di uno.

“L’unicità della figura del RDP, infatti, è una condizione

necessaria per evitare il rischio di sovrapposizioni o incertezze

sulle responsabilità, sia con riferimento all’ambito interno

all’ente, sia con riferimento a quello esterno, e pertanto

occorre che questa sia sempre assicurata”.

Il RDP deve essere designato in funzione delle sue qualità

professionali ed, in particolare, in base alla conoscenza

specialistica della normativa, delle prassi in materia di

protezione dei dati e della capacità di assolvere ai compiti

previsti.

Le certificazioni di settore, pur rappresentando, al pari di

altri titoli, un valido strumento ai fini della verifica del

possesso di un livello minimo di conoscenza della disciplina,

non costituiscono una “abilitazione” allo svolgimento del

ruolo del RPD e non possono sostituire il giudizio delle

Amministrazioni Pubbliche nella valutazione dei requisiti

necessari.

In requisito principale rimane, quindi, una documentata

esperienza nel settore e, come ricordato dalle Linee guida,

tra le qualità professionali richieste, vanno tenute in

considerazione:

- la conoscenza della normativa e delle prassi nazionali ed

europee in materia di protezione dei dati e un’approfondita

conoscenza del GDPR;

- la conoscenza dello specifico settore di attività e della

struttura organizzativa del titolare;

- la buona familiarità con le operazioni di trattamento svolte

nonché con i sistemi informativi e le esigenze di sicurezza e

protezione dati manifestate dal titolare.

Il ruolo di RDP può essere affidato sia a un soggetto esterno

Privacy, un diritto per i cittadini d’Europa

DOSSIER