Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Le linee di indirizzo del Garante privacy per i DPO-RPD

A distanza di 3 anni dalla piena efficacia del Regolamento generale sulla protezione dei dati (GDPR), il Garante della privacy ha pubblicato sul proprio sito internet, un documento chiarificatore sulla figura del Responsabile protezione dei dati (DPO/RPD) sia nel settore pubblico sia nel settore privato.

 

Ecco i punti più importanti trattati dal documento:

1) RPD quale “punto di contatto” per l’Autorità: L’RPD deve collaborare con l’Autorità e per questo deve essere sempre aggiornato dal Titolare per ogni attività che comporta il trattamento di dati personali;

2) Obbligo di designazione: Il Garante esprime una forte raccomandazione a designare un RPD ai soggetti privati che svolgono funzioni pubbliche (es. concessionarie dei servizi di trasporto pubblico locale, in ragione della geolocalizzazione dei veicoli, tracciamento di viaggio e call center per l’utenza). Lo stesso vale anche per mondo sanitario privato (RSA, ospedali privati). Si ricorda che il singolo professionista sanitario non è tenuto alla nomina (Considerando. 91 del Regolamento che evidenzia l’assenza dell’elemento della larga scala);

3) Designazione di RPD interno nelle more della conclusione del procedimento di affidamento dell’incarico a RPD esterno: In questi casi, in ossequio al principio generale di continuità, l’amministrazione pubblica è tenuta a individuare temporaneamente, al proprio interno, un dirigente/funzionario da designare per questo ruolo. La figura scelta dovrà possedere i requisiti richiesti dal regolamento, ed in caso di figura dirigenziale, dovrà avere il tempo necessario per svolgere i compiti di RPD pro tempore.

4) Designazione di un unico RPD per conto di più soggetti pubblici: Lo svolgimento della funzione di RPD per conto di più titolari deve necessariamente tenere conto della possibilità di consentire, alla figura incaricata, di prestare il necessario supporto a tutti i suddetti titolari (anche in termini di tempo e disponibilità da dedicare loro) e di assolvere in maniera adeguata ai compiti.
A questo proposito, al fine di assicurare l’efficace svolgimento dei propri compiti, i soggetti pubblici potrebbero: costituire un gruppo di collaboratori a supporto del RPD designato in comune; definire preventivamente la percentuale del tempo lavorativo destinata all‘attività da svolgere nei confronti di ciascun titolare del trattamento che ha designato il medesimo RPD; individuare, per ciascun singolo titolare, uno specifico referente cui il RPD possa rivolgersi; in sede di procedura di selezione, verificare che non sussistano situazioni di potenziale incompatibilità.

5) Qualità professionali e possesso di titoli: Escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali).

6) Questioni attinenti alla designazione di un RPD esterno: Nel caso in cui la scelta del RPD ricada su soggetti esterni all’ente, la designazione potrà costituire parte integrante dell’apposito contratto di servizi (es. come suo allegato). Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuata, la persona fisica o giuridica che opererà come RPD, riportandone espressamente le generalità (o i dati societari, in caso di persona giuridica), i compiti e le funzioni che questi sarà chiamato a svolgere. L’eventuale assegnazione nel tempo di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono essere indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, questo, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability

7) Pubblicazione e comunicazione all’Autorità dei dati di contatto del RPD: Ciascun soggetto che designa un RPD è tenuto ad effettuare entrambi gli adempimenti previsti dall’art. 37, par. 7, del Regolamento.

8) Coinvolgimento da parte del titolare e svolgimento dei compiti da parte del RPD: Il Garante suggerisce una maggiore e continua interazione tra titolare del trattamento e RPD, al fine di rendere effettiva la protezione dei dati personali, ed elenca una serie di best practice finalizzate a questo.

9) Risorse messe a disposizione dal titolare e costituzione di un team di collaboratori del RPD: Nelle grandi amministrazioni i trattamenti effettuati possono essere numerosi, complessi e coinvolgere un’elevata quantità di dati personali, anche delicati. In questi contesti l’attività richiesta all’RPD è considerevole, sia per quanto concerne il possesso di un livello diversificato e approfondito di conoscenze specialistiche, che per quanto concerne il tempo ed energie da dedicare alle tante istanze che possono emergere. Ciò implica che la persona individuata quale RPD, dovrà avere risorse fisiche, strumentali e temporali idonee a svolgere il proprio incarico.

10) Incompatibilità con altri incarichi e conflitto di interessi: Questa situazione si può verificare quando la figura dell’RPD rivesta, all’interno dell’organizzazione dell’ente, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Allo stesso modo, le medesime problematiche si riscontrano, per un RPD di provenienza esterna, qualora quest’ultimo sia assoggettato alle istruzioni impartite dal titolare del trattamento.

Si consiglia una lettura completa del testo nel sito del Garante, ricordandovi che nel sito sono presenti anche le FAQ sull’RPD, che saranno costantemente aggiornate per far fronte alle domande di maggiore interesse.