Domenica, 17 Ottobre 2021

IL RESPONSABILE PROTEZIONE DATI (RPD), NUOVI OBBLIGHI E ADEGUAMENTO ENTRO IL 25 MAGGIO 2018 In evidenza

ENTRO IL 25 MAGGIO 2018 VA NOMINATO IL RESPONSABILE PROTEZIONE DATI, ECCEZZION FATTA PER I LIBERI PROFESSIONISTI....REQUISITI, COMPITI E FAQ RIGUARDANTI IL GARANTE DELLA PRIVACY


 

Entro il 25 maggio 2018 va nominato il responsabile protezione dati, eccezion fatta per i liberi professionisti; ecco chi è, i requisiti e i compiti. Nuove FAQ del Garante per la Privacy

Il Regolamento generale per la protezione dei dati (n. 2016/679) è la normativa di riferimento in materia di protezione dei dati. Pubblicato in Gazzetta Ufficiale europea il 4 maggio 2016, il Regolamento diventa applicabile dal 25 maggio 2018, al fine di consentire la tutela alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.

In base a quanto stabilito dal Regolamento, tutti gli enti pubblici e numerosi soggetti privati devono, quindi, provvedere alla nomina del responsabile protezione dati (RPD) ENTRO IL 25 MAGGIO 2018.

Tuttavia, i liberi professionisti e le imprese individuali sono esonerati da tale nomina; il chiarimento arriva direttamente dal Garante per la protezione dei dati personali nelle nuove FAQ sul responsabile protezione dati in ambito privato.

Responsabile protezione dati (RPD)

Il responsabile protezione dati (RPD), figura introdotta dal nuovo Regolamento, è un consulente esperto e qualificato che affianca il titolare nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente.

Tale figura, introdotta per la prima volta nel nostro ordinamento dal Regolamento, ma già diffuso in altri Stati membri, ha un ruolo da tenere ben distinto da quello del responsabile del trattamento, che affianca per compiti e responsabilità il titolare stesso.

La nomina

Come stabilito dal Regolamento, il RPD deve essere nominato obbligatoriamente dal titolare del trattamento o dal responsabile del trattamento in una serie definita di ipotesi.

Il ruolo di RPD può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esterno, affidato a un fornitore di servizi (libero professionista o azienda) tramite apposito contratto, nel qual caso dovrà essere nominato anche responsabile del trattamento. Può essere una persona fisica o un’organizzazione, e può essere nominato per un gruppo di imprese al fine di ridurre i costi.

I requisiti

Per poter essere nominato, il RPD deve essere in possesso di alcuni requisiti, in particolare:

  • deve avere un‘idonea competenza e conoscenza della normativa e della prassi in materia di gestione dei dati personali, anche con riferimento alle misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali (non è necessario che sia in possesso di attestazioni formali, né che sia iscritto in un apposito albo professionale, ma la frequentazione di un corso di perfezionamento o di un master può essere uno strumento adeguato per dimostrare il raggiungimento di un livello adeguato di conoscenza)
  • deve essere una figura autonoma e indipendente e deve svolgere le sue funzioni in assenza di conflitto di interesse (tale ruolo non potrà quindi essere svolto da soggetti che si trovano ai vertici di un’azienda e che possono gestire o influenzare le soluzioni e le scelte concretamente adottate in tema di trattamento di dati personali)

I compiti

Il responsabile deve controllare il rispetto del regolamento, informare e sensibilizzare i dipendenti sugli obblighi in materia di riservatezza, valutare l’impatto delle attività svolte dall’azienda o dalla Pubblica Amministrazione per cui lavora sul sistema interno di tutela delle informazioni personali.

Fanno parte di questi compiti di controllo svolti dal RPD:

  • la raccolta di informazioni per individuare i trattamenti svolti
  • l’analisi e la verifica della conformità dei trattamenti
  • l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile

FAQ RPD in ambito privato

Nelle nuove FAQ del Garante, sul ruolo del responsabile protezione dati in ambito privato, vengono chiariti quali sono i soggetti obbligati e quelli esentati alla nomina del RPD.

Soggetti obbligati alla nomina del RPD

Di fatto, sono obbligati alla nomina: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento (Per maggiori info vedi Domanda/FAQ n. 3 sotto elencata).

Soggetti esentati dalla nomina del RPD

La designazione del responsabile del trattamento non è obbligatoria in relazione a trattamenti effettuati da:

  • liberi professionisti operanti in forma individuale
  • agenti, rappresentanti e mediatori operanti non su larga scala
  • imprese individuali o familiari
  • piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti

La nomina anche in questi casi viene, però, raccomandata, per dimostrare di essersi responsabilizzati (FAQ n. 4).

A titolo esaustivo a seguire è presente  l’elenco completo delle domande e delle risposte che approfondiscono l'agomento.

 

NOTIZIE AGGIUNTIVE E ISCRIZIONI AL CORSO

PER INFO SU COSTI E ISCRIZIONI AL CORSO DI “RESPONSABILE PROTEZIONE DATI” E/O ALLA STESURA DI TUTTA LA DOCUMENTAZIONE RIGURDANTE LA PRIVACY IN AZINEDA POTETE CONTATTARE DAL LUNEDI’ AL VENERDI’ E DALLE 15:00 ALLE 19:00 IL NUMERO +39 320 866 9623 o mandare mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 



 

NUOVE DOMANDE/FAQ SUL RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD) IN AMBITO PRIVATO
(in aggiunta a quelle adottate dal Gruppo Art. 29
in Allegato alle Linee guida sul RPD)

 

  1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
  2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
  3. Chi sono i soggetti privati obbligati alla sua designazione?
  4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
  5. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?
  6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
  7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
  8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
  1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; vedi Domanda/Faq n. 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

  1. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

  1. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

  1. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

  1. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

  1. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link:http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

  1. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

  1. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

 

INFO SCRIZIONI AL CORSO E RICHIESTA SERVIZI

PER INFO SU COSTI E ISCRIZIONI AL CORSO DI “RESPONSABILE PROTEZIONE DATI” E/O ALLA STESURA DI TUTTA LA DOCUMENTAZIONE RIGURDANTE LA PRIVACY IN AZINEDA POTETE CONTATTARE DAL LUNEDI’ AL VENERDI’ E DALLE 15:00 ALLE 19:00 IL NUMERO +39 320 866 9623 o mandare mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Fonti: www.garanteprivacy.it 

 

Articolo redatto dall'Arch. Francesco Viola

Vota questo articolo
(0 Voti)

Più letti questo mese

Feed RSS

C.S.C. - CENTRO SERVIZI E CONSULENZE PER LE PICCOLE, MEDIE E GRANDI IMPRESE
Associazione Nazionale delle Piccole, Medie e Grandi Imprese
Via di Lorenzo n. 10, Partinico (PA)