Il Responsabile della Protezione Dati nella PA

Tutte le News su:

, , , , ,

Il nuovo Regolamento europeo sulla Privacy, 2016/679/UE, obbliga le Pubbliche Amministrazioni a nominare un responsabile della protezione dati, chiamato “DPO” (Data Protection Officer), entro il prossimo 25 Maggio.

Il Regolamento europeo sulla Protezione dei Dati, 2016/679/UE, è vicino alla data in cui la sua disciplina sarà applicabile in tutti gli stati membri dell’Unione Europea.  Entro quella data, fissata per il 25 Maggio 2018,  le Pubbliche Amministrazioni dovranno rispondere   con un Data Protection Officer nominato.

La figura del DPO, introdotta dal regolamento,  è direttamente collegata ai nuovi principi in materia di trattamento dei dati sanciti dal GDPR ed in particolare a quello dell’Accountability.

Il contenuto di tale principio consiste, in buona sostanza, nella responsabilizzazione degli Enti nella gestione della propria organizzazione in modo tale da garantire la piena conformità del trattamento ai principi sanciti nel regolamento e  alla legislazione degli Stati Membri oltre che un approccio risk- based che tenga conto dei rischi connessi al trattamento.

Proprio al fine di rendere effettivo il principio di accountability, nasce la figura del Responsabile della Protezione dei Dati ( RPD o DPO in inglese ) che tutte le Pubbliche Amministrazioni, compresi  gli Enti Pubblici Economici sono chiamati a designare.

Il DPO, stando alle Linee Guida del WP Art. 29,  deve essere una persona fisica e  assume il ruolo di supervisore indipendente che si occuperà di fornire consulenza al titolare e al responsabile del trattamento sugli obblighi previsti dal GDPR.  Svolgerà attività di formazione e controllo sull’osservanza del regolamento e sull’assegnazione dei ruoli all’interno dell’Ente e si occuperà di effettuare la Valutazione di Impatto sul trattamento dei dati (DPIA), collaborerà con l’Autorità Garante e si occuperà delle eventuali Data Breach Notification.

Il 15 dicembre 2017 il  Garante privacy ha pubblicato sul sito le Faq aggiornate relative alla figura del Responsabile della Protezione dei Dati in ambito pubblico.

Il documento chiarisce,  rispondendo alle principali richieste provenienti dalle P.A.  quali siano gli enti pubblici tenuti alla designazione del RPD e indica come, in ragione dei compiti assegnati a questa nuova figura dal Regolamento, essa sia da individuarsi in un dirigente o in un funzionario di elevata professionalità, che possa svolgere i propri compiti con adeguate garanzie di indipendenza e autonomia e possa comunque riportare direttamente al vertice dell’organizzazione.

Quanto ai requisiti necessari per svolgere la funzione di RPD il Garante chiarisce ancora una volta che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento.

Nelle Faq si forniscono inoltre chiarimenti sulle procedure di designazione e sulle comunicazioni da inviare al Garante, per le quali sono stati messi a disposizione appositi modelli.

Il documento specifica anche che non può essere designato più di un RPD per ogni titolare/responsabile il quale, se necessario, in base alla complessità dell’organizzazione, potrà eventualmente avvalersi di propri “referenti”, che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni dell’RPD.

Queste le domande a cui viene data risposta:

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

4. Con quale atto formale deve essere designato il RPD?

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

 

 

Tu cosa ne pensi? Lascia il tuo commento

Il nostro sito utilizza i cookie al fine di migliorare i servizi. Se accedi a un qualunque elemento sottostante questo banner acconsenti all`uso dei cookie. Maggiori informazioni | Chiudi