PREPARARSI PER LA COMUNICAZIONE AL GARANTE DEI DATI DEL DPO
Ai sensi dell’art. 37 del Regolamento UE 2016/679 sono obbligati a nominare il Responsabile della protezione dei dati (c.d. Data Protection Officer – DPO) le autorità pubbliche e gli organismi pubblici – con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali – indipendentemente dai dati oggetto di trattamento.
Come evidenziato nelle Linee Guida del Gruppo sul Responsabile della Protezione dei Dati del Gruppo Art. 29, nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico” ma il Gruppo di lavoro ritiene che tale definizione debba essere conforme al diritto nazionale.
Conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.
Sempre in merito le citate Linee Guida evidenziano che lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non sono pertinenti esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro: trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale.
In tutti i casi suddetti la situazione in cui versano gli interessati è probabilmente molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico in quanto i trattamenti perseguono finalità simili e spesso il singolo ha un margine esiguo o addirittura nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali; pertanto, è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un DPO.
Il Gruppo Art. 29, con riferimenti alla casistica illustrata ha evidenziato che, benché non sussista l’obbligo di nominare un DPO, si raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri lo nominino e in tal caso le sue attività si estenderanno a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale.
Posto ciò, si ricorda che, poiché il Responsabile della Protezione dei Dati deve fungere da punto di contatto fra il singolo ente o azienda e il Garante per la protezione dei dati personali, il paragrafo 7 dell’art. 37 del GDPR, prevede l’obbligo per il titolare del trattamento o il responsabile del trattamento di pubblicare i dati di contatto del responsabile della protezione dei dati e comunicarli all’autorità di controllo, così che queste ultime possano contattarli facilmente e direttamente.
A tal fine nei prossimi giorni sul sito www.garanteprivacy.it sarà resa disponibile una procedura online per la comunicazione del nominativo del DPO e, frattanto, per facilitare i soggetti tenuti all’adempimento è stato reso disponibile un facsimile in formato .pdf – da non utilizzare per la comunicazione al Garante – che consente di familiarizzare con l’adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.