Con quale atto formale deve essere designato il RPD?

31

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Il RGPD

prevede all’art. 37, par. 1, che il titolare e il responsabile

del trattamento designino il RPD; da ciò deriva, quindi, che l’atto di

designazione è parte costitutiva dell’adempimento.

Nel caso in cui

la scelta del RPD ricada su una professionalità interna

all’ente, occorre formalizzare un apposito atto di designazione a

“Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti

esterni all’ente, la designazione costituirà parte integrante dell’apposito

contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD.

Indipendentemente

dalla natura e dalla forma dell’atto utilizzato, è

necessario che nello stesso sia individuato in maniera inequivocabile

il soggetto che opererà come RPD, riportandone espressamente le

generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art.

39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al

titolare/responsabile del trattamento, in conformità a quanto previsto dal

quadro normativo di riferimento.

L’eventuale assegnazione di compiti aggiuntivi

, rispetto a quelli

originariamente previsti nell’atto di designazione, dovrà comportare la

modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare

succintamente indicate anche le motivazioni che hanno indotto l’ente a

L’individuazione del Responsabile della Protezione dei dati è un tema che sta richiedendo grande impegno al Garante e alla PA. In aggiunta a quanto

previsto dal Regolamento e alle Linee Guida adottate dal Gruppo Art. 29 (WP 243) del 13 dicembre 2016 emendate nella versione del 5 aprile 2017,

il Garante ha prodotto una serie di Faq a beneficio delle Amministrazioni pubbliche come quella che segue e chiarisce le modalità di incarico del RPD

individuare, nella persona fisica selezionata, il proprio RPD, al fine di

consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del

RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna

o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione

compiuta dall’ente nella scelta di tale figura, oltre a essere indice di

trasparenza e di buona amministrazione, costituisce anche elemento di

valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato

, il titolare o il responsabile del trattamento è tenuto a

indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD

pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art.

37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i

riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che

nella sezione “privacy” eventualmente già presente.

Come chiarito nelle Linee guida

, in base all’art. 37, par. 7, non è necessario

- anche se potrebbe costituire una buona prassi, in ambito pubblico -

pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato

al Garante per agevolare i contatti con l’Autorità (anche in questo caso,

in allegato alle Faq, è riportato un modello di comunicazione al Garante).

Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in

caso di violazione dei dati personali (art. 33, par. 3, lett. B).

che a un soggetto interno alla struttura del titolare. Tuttavia,

in caso di nomina di soggetto interno, è richiesto che abbia

una posizione dirigenziale.

In ogni caso, deve essere chiaro che si tratta di una figura

autonoma e indipendente che risponde direttamente al vertice

dell’organizzazione. Inoltre non deve cadere in condizioni

di conf litto di interessi come, ad esempio, nel caso in

cui l’incarico venisse affidato al Responsabile dei sistemi

informativi. Una volta incaricato, i suoi dati devono essere

comunicati al Garante.

A ribadirne l’autonomia e la capacità di manovra, il GDPR

specifica che il RPD deve disporre delle risorse necessarie allo

svolgimento dei compiti a esso demandati.

Ma in cosa consiste l’attività di questo controllore?

I suoi compiti sono descritti nell’articolo 39 del GPDR:

informare e fornire consulenza al titolare del trattamento

o al responsabile del trattamento nonché ai dipendenti che

eseguono il trattamento in merito agli obblighi derivanti dal

regolamento; deve sorvegliare l’osservanza del regolamento,

nonché delle politiche del titolare del trattamento o del

responsabile del trattamento in materia di protezione dei

dati personali, comprese l’attribuzione delle responsabilità, la

sensibilizzazione e la formazione del personale che partecipa

ai trattamenti e alle connesse attività di controllo.

Se richiesto, dovrà fornire pareri in merito alla valutazione di

impatto sulla protezione dei dati.

Inoltre, dovrà fungere da punto di contatto per l’autorità di

controllo per questioni connesse al trattamento dei dati.

La stessa norma prevede infine che, nell’esecuzione dei

propri compiti, il RPD consideri debitamente i rischi inerenti

al trattamento, tenuto conto della natura, dell’ambito di

applicazione, del contesto e delle finalità del medesimo.

Pertanto, questa figura, deve essere coinvolta sin dall’inizio in

ogni questione attinente la valutazione dei dati personali.

Occorre però avere ben presente, che secondo il principio

di responsabilità del titolare, il RPD non risponde

personalmente in caso di inosservanza del GDPR. Spetta al

titolare o al responsabile del trattamento garantire ed essere

in grado di dimostrare che le operazioni di trattamento sono

conformi alle disposizioni previste dal regolamento.