Responsabile della protezione dei dati: con quale atto formale deve essere designato?
Responsabile della protezione dei dati: con quale atto formale deve essere designato?
Come riportato nelle faq pubblicate dal Garante privacy nel dicembre 2017, il nuovo regolamento europeo sulla protezione dei dati personali (RGPD) prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il Responsabile della protezione dei dati (RPD) (Data Protection Officer, DPO).
Da ciò deriva, quindi, specifica il Garante, che l’atto di designazione è parte costitutiva dell’adempimento.
Forma della designazione del Responsabile della protezione dei dati
Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.
In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD.
Per agevolare gli enti, il Garante privacy ha diffuso uno schema di atto di designazione.
Contenuto dell’atto di designazione del Responsabile della protezione dei dati
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del Regolamento, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.
La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».
Obbligo di comunicare i dati di contatto del Responsabile della protezione dei dati
Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7).
Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.
Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario – anche se potrebbe costituire una buona prassi, in ambito pubblico – pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità.
Anche in questo caso, il Garante ha diffuso un modello di comunicazione.
Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).
Per rimanere aggiornato, iscriviti alla nostra newsletter o clicca “mi piace” sulla nostra pagina facebook!
Se trovi questo articolo interessante, condividilo, grazie!
Hai una domanda su questo articolo? Inviacela lasciando un commento in fondo alla pagina o tramite e-mail
Studio legale Avvocato Giuseppe Briganti
Pesaro-Urbino
Aggiornato alla data di pubblicazione