IL RESPONSABILE DELLA PROTEZIONE DEI DATI
Il 25 maggio 2018 – data in cui sarà pienamente applicativo il Regolamento UE 2016/679 – si avvicina e tutte le Amministrazioni dello Stato e gli Enti Pubblici dovranno nominare entro tale data il Responsabile della Protezione dei Dati.
Sulla scorta delle FAQ pubblicate dal Garante Privacy sul proprio sito si cercherà di fare luce su questa figura che, si rammenta, è obbligatoria per le Amministrazioni dello Stato, anche con ordinamento autonomo, gli Enti pubblici non economici nazionali, regionali e locali, le Regioni e gli Enti Locali, le Università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.
La mancata designazione del Responsabile della protezione dei dati è punita, nel caso delle PP.AA., con la sanzione amministrativa fino a 10 milioni di euro.
E’, inoltre, fortemente raccomandato procedere alla designazione di un RPD nel caso in cui soggetti privati esercitino funzioni pubbliche, in qualità, ad esempio, di concessionari di servizi pubblici.
Il RPD può anche essere un dipendente dell’autorità pubblica o dell’organismo pubblico ma prima di procedere ad una nomina in tal senso occorre accertarsi che la sua attività in qualità di RPD non sia incompatibile con le mansioni ordinariamente affidategli.
Quindi, qualora si opti per un RPD interno, sarebbe in linea di massima preferibile che la designazione sia conferita ad un dirigente ovvero ad un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia ed indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Il RGPD va designato dal titolare del trattamento e in caso di nomina interna, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”.
In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi.
Nell’atto di designazione o nel contratto di servizi devono essere succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dal Regolamento, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.
La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura è indice di trasparenza e di buon amministrazione e costituisce elemento di valutazione del rispetto del principio di «responsabilizzazione».
In relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD e, di conseguenza, anche l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
Dalle FAQ del Garante si evince che la figura del RPD è unica ma è possibile individuare più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione.
Si ricorda, infine che vanno comunicati al Garante i dati del Responsabile della Protezione dei Dati e, a tal proposito, a breve sarà disponibile sul sito una procedura per l’invio telematico di tale comunicazione.