Tra le novità introdotte dal Regolamento (UE) 2016/679, per rendere la protezione dei dati ancora più sicura ed effettiva è stata prevista la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati personali (RPD).
Tutte le Pubbliche Amministrazioni, così come alcuni soggetti privati, dovranno dunque scegliere tale figura con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche.
In particolare il DPO dovrà informare e consigliare imprese e Pubbliche Amministrazioni, sorvegliare sull’osservanza degli obblighi derivanti dal Regolamento Europeo, provvedere alla formazione del personale, dare pareri sulla valutazione di impatto privacy ed essere interlocutore diretto del Garante della privacy e degli interessati.
Un importante contributo per meglio delineare il profilo del DPO o RDP viene dalle risposte fornite dal Garante della privacy italiano all’esito di quesiti e richieste di approfondimento sul Regolamento privacy raccolti nell’ambito di specifici incontri tenuti dall’Autorità con imprese e Pubblica Amministrazione.
Con specifico riguardo alle Pubbliche Amministrazioni, le Faq chiariscono, in primo luogo, quali siano gli enti pubblici tenuti alla designazione del RPD rappresentando che, ai sensi dell’art. 37, par. 1, lett. a), del RGPD i titolari e i responsabili del trattamento devono designare un RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».
Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” ma ne rimette l’individuazione al diritto nazionale applicabile.
Allo stato, dunque, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice della Privacy, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).
L’ RPD può essere sia un soggetto interno all’ente che un soggetto esterno.
Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, è preferibile individuare un dirigente o un funzionario di alta professionalità che possa svolgere le proprie funzioni in autonomia e indipendenza, in collaborazione diretta con il vertice dell’organizzazione. In tal caso occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.
Nel caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD. In tal caso il contratto potrà essere concluso anche con una persona giuridica, ma dovrà essere necessariamente individuata una persona fisica che faccia da referente e di quest’ultima dovranno essere riportate le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dalla normativa di riferimento.
Qualora venissero assegnati al DPO compiti aggiuntivi rispetto a quelli originariamente previsti nell’atto di designazione, le clausole contrattuali dovranno essere modificate e/o integrate.
Il nominativo e i dati di contatto del DPO dovranno essere indicati nelle informative fornite agli interessati, nonché al Garante tramite un modello di comunicazione reperibile sul sito www.garanteprivacy.it, al fine di agevolare i contati con l’autorità.
Quanto ai requisiti necessari per svolgere la funzione di RPD il Garante chiarisce ancora una volta che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento. Le certificazioni infatti non equivalgono, di per sé, a una «abilitazione» allo svolgimento del ruolo dell’Rpd, tuttavia corsi, master e certificazioni volontarie costituiscono sicuramente un valido strumento di verifica delle conoscenze.
Avv. Federica Spuri Nisi