GDPR: DPO / RPD - Tutta una storia a sè! - SPPD-MADEIN

Privacy 4.0 e Protezione dei dati
Edizione 2018-2019

Vai ai contenuti

Menu principale:

GDPR: DPO / RPD - Tutta una storia a sè!

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUTORITA' DI CONTROLLO SPPD
GDPR: DPO / RPD - Tutta una storia a sè!
La privacy europea è e sarà perennemente evolutiva!

NOMINA DEL DPO/RPD ( Artt. 37, 38, 39)
Linee-guida sui responsabili della protezione dei dati (RPD) - adottate dal Gruppo di lavoro Art. 29.

DI COSA SI PARLA
il responsabile della protezione dei dati è una funzione di informazione, consulenza, sorveglianza e di collegamento con il Garante e con gli interessati.

OBBLIGHI NON ELUDIBILI
Sono obbligati a nominare il DPO tutti gli enti pubblici (tranne gli organi giudiziari per trattamenti per finidi giustizia) e due categorie di titolari di trattamenti privati ovvero coloro che, come attività principale, svolgono trattamenti su larga scala relativi a:

a) al monitoraggio sistematico delle persone oppure
b) al trattamento di particolari categorie di dati.

SOLITA DOCUMENTAZIONE FORMALE
Il soggetto obbligato è tenuto a redigere l'atto di nomina del Dpo corredato dalle relative clausole contrattuali.


1. Chi è tenuto a designare un RPD?
La designazione di un RPD è obbligatoria:

• se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico;
• se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedorio il monitoraggio regolare e sistematico di interessati su larga scala; oppure se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.


La designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell'UE. Inoltre, anche ove la designazione di un RPD non sia obbligatoria, è comunque utile procedere a tale designazione su base volontaria.
Quando la designazione di un RPD è volontaria, si applicano gli identici requisiti in termini di criteri per la designazione, posizione e compiti che valgono per i RPD designati in via obbligatoria.

2. Cosa significa "attività principali"?
Con "attività principali" si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all'attività del titolare del trattamento o del responsabile del trattamento.

Il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD. D'altra parte, tutti gli organismi (pubblici e privati) svolgono determinate attività quali il pagamento delle retribuzioni al personale ovvero dispongono di strutture standard di supporto informatico. Si tratta di esempi di funzioni di supporto necessarie ai fini dell'attività principale o dell'oggetto principale del singolo organismo, ma pur essendo necessarie o perfino essenziali sono considerate solitamente di natura accessoria e non vengono annoverate fra le attività principali.

3. Cosa significa "su larga scala"?
    • Il regolamento non definisce cosa rappresenti un trattamento "su larga scala". Il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:

      • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
      • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
      • la durata, ovvero la persistenza, dell'attività di trattamento;
      • la portata geografica dell'attività di trattamento.

Esempi di trattamento su larga scala:

• trattamento di dati relativi a pazienti svolto da un ospedale nell'ambito delle ordinarie attività;
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
• trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
• trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell'ambito delle ordinarie attività;
• trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
• trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Esempi di trattamento non su larga scala sono i seguenti:

    • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
    • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

4. Cosa significa "monitoraggio regolare e sistematico"?
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all'interno del GDPR; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però di un concetto riferito all'ambiente online.



Alcune attività che possono configurare un monitoraggio regolare e sistematico di interessati:

      • curare il funzionamento di una rete di telecomunicazioni;
      • la prestazione di servizi di telecomunicazioni;
      • il reindirizzamento di messaggi di posta elettronica;
      • attività di marketing basate sull'analisi dei dati raccolti;
      • profilazione e scoring per finalità di valutazione del rischio'

Esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell'ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

L'aggettivo "regolare" ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

• ricorrente o ripetuto a intervalli costanti;
• che avviene in modo costante o a intervalli periodici.

L'aggettivo "sistematico" ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro che avviene per sistema

• predeterminato, organizzato o metodico;
• che ha luogo nell'ambito di un progetto complessivo di raccolta di dati;
• svolto nell'ambito di una strategia.


5. E' ammessa la designazione congiunta di unô stesso RPD da parte di più soggetti? E a quali condizioni?
Un gruppo imprenditoriale può nominare un unico RPD a condizione che quest'ultimo sia "facilmente raggiungibile da ciascuno stabilimento". Il concetto di raggiungibilità si riferisce ai compiti del RPD in quanto punto di contatto per gli interessati, l'autorità di controllo e i soggetti interni all'organismo o all'ente. Allo scopo di assicurare la raggiungibilità del RPD, 30 interno o esterno, è importante garantire la disponibilità dei dati di contatto nei termini previsti dal Regolamento.

Il Regolamento, supportato da un apposito team se necessario, deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Ciò significa che le comunicazioni in questione devono avvenire nella lingua utilizzata dalle autorità di controllo e dagli interessati volta per volta in causa. Il fatto che il RPD sia raggiungibile fisicamente all'interno dello stabile Ove operano i dipendenti, o attraverso una linea dedicata o altri mezzi idonei e sicuri di comunicazione, è fondamentale al fine di garantire all'interessato la possibilità di contattare il RPD.

E' possibile condividere un unico RPD per più Titolari del Trattamento (privati o organismi pubblici), tenendo conto della struttura organizzativa e dimensione. Stesse considerazioni per ciò che riguarda risorse e comunicazioni. Siccome il RPD è chiamato a una molteplicità di funzioni, il titolare del trattamento o il responsabile del trattamento deve sincerarsi che un unico RPD, abbia un team di collaboratori, sia in grado di adempiere in modo efficiente a tali funzioni anche se designato per più soggetti Titolari

6. Dove dovrebbe collocarsi il RPD?
Per garantire l'accessibilità del RPD, il Gruppo di lavoro raccomanda la sua collocazione nel territorio dell'Unione europea, indipendentemente dall'esistenza di uno stabilimento del titolare o del responsabile nell'UE. Eppure, non si esclude che un RPD sia in grado di adempiere ai propri compiti con maggiore efficacia operando al di fuori dell'UE in alcuni casi ove titolare del trattamento o responsabile del trattamento non sono stabiliti nel territorio dell'Unione europea.

7. Si può designare un RPD esterno?
Il RPD può far parte del personale del titolare del trattamento o del responsabile del trattamento (RPD interno) ovvero "assolvere i suoi compiti in base a un contratto di servizi". In questo caso il RPD sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica.

Quando la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l'autorità di un contatto principale designato e "responsabile" per il singolo cliente. Quindi, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti applicabili come fissati nel GDPR. Per favorire efficienza e correttezza e prevenire conflitti di interesse a carico dei componenti il team, le linee guida raccomandano di procedere a una chiara ripartizione dei compiti nel team del RPD esterno, attraverso il contratto di servizi, prevedendo che sia un solo soggetto a fungere da contatto principale e "incaricato" per ciascun cliente.

8. Quali sono le qualità professionali che un RPD deve possedere?
Il RPD "è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i [rispettivi] compiti". Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un vôlume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.

Fra le competenze e conoscenze specialistiche pertinenti rientrano le seguenti:

  • conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, compresa un'approfondita conoscenza del GDPR;
  • familiarità con le operazioni di trattamento svolte;
  • familiarità con tecnologie informatiche e misure di sicurezza dei dati;
  • conoscenza dello specifico settore di attività e dell'organizzazione del titolare/del responsabile:
  • capacità di promuovere una cultura della protezione dati all'interno dell'organizzazione del titolare/del responsabile.


9. Quali sono le risorse che titolare del trattamento o responsabile del trattamento dovrebbero mettere a disposizione del RPD?
Il RPD deve disporre delle risorse necessarie per assolvere i propri compiti. A seconda della natura dei trattamenti, e delle attività e dimensioni della struttura del titolare del trattamento o del responsabile del trattamento, il RPD dovrebbe poter contare sulle seguenti risorse:

      • supporto attivo della funzione di RPD da P9rte del senior management;
      • tempo sufficiente per l'espletamento dei compiti affidati;
      • supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale;
      • comunicazione ufficiale della designazione del RPD a tutto il personale;
      • accesso garantito ad altri servizi all'interno della struttura del titolare/del responsabile del trattamento in modo da ricevere tutto il supporto, le informazioni o gli input necessari;
      • formazione permanente.

10. Quali sono le garanzie che possono consentire al RPD di operare con indipendenza? Cosa significa "conflitto di interessi"?
Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente:

• nessuna istruzione da parte del titolare del trattamento o del responsabile del trattamento per quanto riguarda lo svolgimento dei compiti affidati al RPD
• nessuna penalizzazione o rimozione dall'incarico in rapporto allo svolgimento dei compiti affidati al RPD;
nessun conflitto di interessi con eventuali ulteriori compiti e funzioni.


Gli "altri compiti e funzioni" del RPD non devono comportare conflitti di interessi. In primis, il RPD non può rivestire, all'interno dell'organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento.
Peraltro, possono sussistere situazioni di conflitto all'interno dell'organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento.

NOTA: può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare del trattamento o il responsabile del trattamento in un giudizio che tocchi problematiche di protezione dei dati.

11. Che cosa si intende per "sorvegliare l'osservanza"?
Fanno parte di questi compiti di controllo del RPD, in particolare,

      • la raccolta di informazioni per individuare i trattamenti svolti;
      • l'analisi e la verifica dei trattamenti in termini di loro conformità,
      • l'attività di informazione, consulenza e indirizzo nei confronti di titolare del trattamento o responsabile del trattamento.

_________________________________________________________________



12. Il RPD è personalmente responsabile in caso di inosservanza degli obblighi in materia di protezione dei dati?  Questa è facile: MAI!

Il RPD non è responsabile personalmente in caso di inosservanza degli obblighi in materia di protezione dei dati.
Spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento. La responsabilità di garantire l'osservanza della normativa in materia di protezione dei dati ricade sul titolare del trattamento o sul responsabile del trattamento.

13. Quale ruolo spetta al RPD con riguardo alla valutazione di impatto sulla protezione dei dati e alla tenuta del registro dei trattamenti?
Per quanto concerne la valutazione di impatto sulla protezione dei dati, il titolare del trattamento o il responsabile del trattamento dovrebbero consultarsi con il RPD, fra l'altro, sulle seguenti tematiche:

      • se condurre o meno una DPIA;
      • quale metodologia adottare nel condurre una DPIA
      • se condurre la DP IA con le risorse interne ovvero esternalizzandola;
      • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
      • se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare)
      • siano conformi ai requisiti in materia di protezione dei dati.

... E NELL'AMBITO PUBBLICO COME FUNZIONA... SE FUNZIONA?

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell'art. 37, par. 1, lett. a), del RGPD?
Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell'ambito di applicazione degli artt. 18 - 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici.
Una veloce carrellata di esempi: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

Le Compartecipate ?
Nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti in termini di criteri per la designazione, posizione e compiti che valgono per i RPD designati in via obbligatoria.

2. Nel caso in cui il RPD sia un dipendente dell'autorità pubblica o dell'organismo pubblico, quale qualifca deve avere?
nel caso in cui si opti per un RPD interno, è preferibile considerare se la struttura organizzativa consenta la scelta, e ,tenendo conto della complessità dei trattamenti, la designazione è conferita a un dirigente ovvero a un funzionario di alta professionalità; costui deve svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell'organizzazione.

3. Quali certificazioni risultano idonee a legittimare il RPD nell'esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del GDPR ?
Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori.
Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del GDPR) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall'art. 39 del GDPR.

4. Con quale atto formale deve essere designato il RPD?
Il GDPR prevede all'art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l'atto di designazione è parte costitutiva dell'adempimento. Nel caso 'in cui la scelta del RPD ricada su una professionalità interna all'ente, occorre formalizzare un apposito atto di designazione a "Responsabile per la protezione dei dati". In caso, invece, di ricorso a soggetti esterni all'ente, la Designazione costituirà parte integrante dell'apposito contratto di servizi redatto in base a quanto previsto dall'art. 37 del GDPR . Indipendentemente dalla natura e dalla forma dell'atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall'art. 39 del GDPR ) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.


L'eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell'atto di designazione, dovrà comportare la modifica e/o l'integrazione dello stesso o delle clausole contrattuali.
Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, par. 5 del GDPR , anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».


Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nélla sezione "amministrazione trasparente", oltre che nella sezione "privacy" eventualmente già presente. In accordo alle Linee guida, in base all'art. 37, par. 7, in ambito pubblico non è necessario (anche se potrebbe costituire una buona prassi) pubblicare il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l'Autorità. Resta inveçe fermo l'obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).

5. La designazione di un RPD interno all'autorità pubblica o all'organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?
in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell'organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Si deve perciò valutare l'opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Dove istituito un apposito ufficio, è comunque necessario che venga individuata la persona fisica che riveste il ruolo di RPD (mediante l'atto di designazione di cui sopra).

6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?
La peculiarità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all'ambito interno all'ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata. Nessuna difficoltà all'individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell'amministrazione, che fàcciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un RPD interno, sia che questa ricada su un RPD esterno.

In relazione alla varietà di trattamenti di dati personali effettuati in azienda (Es. trattamenti soggetti a basi giuridiche in ambito di prevenzione, indagine, accertamento e perseguimento di reati), ovvero della loro impatto sulla struttura organizzativa dell'ente (si pensi al distribuzione territoriale), può risultare opportuno individuare specifici "referenti" del RPD che svolgano un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD come componenti del suo gruppo di lavoro (TEAM PRIVACY).

7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?
Il GDPR consente l'assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non alimentino un conflitto di interessi. Inoltre, a seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, eventuali ulteriori incombenze attribuite al RPD non devono sottrarre tempo e attenzione alle relative responsabilità native del RPD.
Negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non devono essere assegnate al RPD ulteriori responsabilità. Si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle ASL.


NOTA: In definitiva, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l'attribuzione delle funzioni di RPD al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, non si deve cumulare un carico di lavoro non congruo che incida negativamente sull'effettività dello svolgimento dei compiti che il RGPD attribuisce al RPD.

Conflitto di interesse - Sempre in tema di conflitto di interessi, occorre valutare se le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Esempio, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico. Pensiamo al responsabile dei Sistemi informativi o ADS (chiamato ad individuare le misure di sicurezza necessarie), versus quello dell'Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Quindi ulteriori compiti e funzioni in capo al RPD, fare molta attenzione  ai casi di unico RPD condiviso tra molteplici autorità pubbliche e organismi pubblici. Se possibile, ulteriore attenzione nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni.
Tutto questo da considerare sistematicamente all'atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza

NOTA: IL TITOLARE DEL TRATTAMENTO E' SEMPRE PASSIBILE DI "CULPA IN ELIGENDO E IN VIGILNADO"


II percorso del DPO
Verifica obbligo di nomina (Individuale o congiunta)
• Verifica modalità di nomina (Interno o esterno)
• Stesura e sottoscrizione (Professionista o società)
• Contratto di servizi/disciplinare di nomina con interno
• Comunicazione all'autorità di controllo
• Diffusione dei dati di contatto
• Creazione ufficio/stanziamento fondi
• Verifica periodica attività svolta

POSSIBILI CLAUSOLE E CONDIZIONI CONTRATTUALI DPO
Declaratoria del DPO di possesso dei' requisiti e di assenza di conflitto di interessi (allegare curriculum)

    • obbligo di presenza periodica in sede e comunque in caso di necessità o a richiesta del Titolare/ Responsabile del Trattamento (TdT/RdT)
    • obbligo di programmare sessioni periodiche di consulenza e informazione interna, anche a distanza e modalità di accesso agli archivi e possibilità di assumere informazioni direttamente dagli autorizzati. al trattamento
    • tempi certi di risposta del DPO a richiesta del TdT/RdT di consulenza sull'osservanza del Regolamento
    • tempi certi di risposta del DPO a richiesta del TdT/RdT di pareri relativi alla valutazione di impatto privacy
    • obbligo di riscontro in tempi brevi e predeterminati a richieste degli interessati
    • obbligo di riscontro in tempi brevi e predeterminati a richieste dell'Autorità Garante
    • obbligo di rendiconto finanziario sull'utilizzo delle risorse assegnate
    • obbligo di una relazione annuale, nella quale il DPO dà conto dell'attività svolta e degli eventi più significativi
    • preavviso lungo in caso di recesso dal contratto
    • procedure conciliative/arbitrato per la soluzione delle controversie e clausole di continuità dell'attività in caso di contenzioso
    • modalità del passaggio di consegne da DPO uscente a DPO entrante
    • Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell'art. 37 del Regolamento UE 2016/679 [Fonte Garante Privacy]



    • • il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) (artt. 37-39);

    • • il predetto Regolamento prevede l'obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a);

    • • le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere
    • individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD). Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere:

      • • le disposizioni prevedono inoltre che «un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37, paragrafo 3).
      • Considerato che l'Ente X:
      • • è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall'art. 37, par. 1, lett a) del RGPD. Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere:
      • e ha ritenuto di avvalersi della facoltà, prevista dall'art. 37, paragrafo 3, del Regolamento, di procedere alla nomina condivisa di uno stesso RPD con gli Enti X, Y, Z, sulla base delle valutazioni condotte di concerto con i predetti Enti in ordine a (es. dimensioni, affinità tra le relative strutture organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);
      • • all'esito di ... (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il ......
      • , sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall'art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di interesse con la posizio- ne da ricoprire e i compiti e le funzioni
      • da espletare
DESIGNA

(generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l'Ente X.
Il predetto, nel rispetto di quanto previsto dall'art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:
      • a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell'Unione relative alla protezione dei dati;
      • b) sorvegliare l'osservanza del RGPD, di altre disposizioni nazionali o dell'Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
      • c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del RGPD;
      • d) cooperare con il Garante per la protezione dei dati personali;
      • e) fungere da punto di contatto con il Garante per 1a protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione; (è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.: ...........
      • f) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite.. .).


I compiti del Responsabile della Protezione dei Dati personali attengono all'insieme dei trattamenti di dati effettuati dall' Ente X.
L'Ente X si impegna a:
      • a) mettere a disposizione del RPD le seguenti risorse al fine di consentire l'ottimale svolgimento dei compiti e delle funzioni assegnate. (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del personale);
      • b) non rimuovere o penalizzare il RPD in ragione dell'adempimento dei compiti affidati nell'esercizio delle sue funzioni;
      • c) garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;

DELIBERA

di designare ..... ..... .... ..... .... ..... ........

come Responsabile dei dati personali (RPD) per l'Ente X
Data ..... ..... ....

Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell'Ente (url.. .., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.


Quello sotto è una copia del mopdello divulgato dal Garante per la comunicaziuone dei dati di nomina del DPO alla Auorità











































Torna ai contenuti | Torna al menu