Il Garante della privacy ha fornito alcuni chiarimenti nelle FAQ sul nuovo Regolamento Ue n. 679/2016
Il Garante della privacy ha pubblicato alcune FAQ, datate 15 dicembre 2017, sulla nomina e funzioni della nuova figura del Responsabile della protezione dei dati personali (RPD) o Data Protection Officer (DPO) in ambito pubblico, prevista dal Regolamento UE 679/2016 (artt. 37–39), che si aggiungono alle Linee guida adottate dal Gruppo di lavoro dei Garanti Ue (art. 29 della direttiva 95/46/CE).
Il Regolamento, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, entrato in vigore lo scorso 24 maggio 2016, troverà applicazione dal 25 maggio 2018 (art. 99).
In merito, si segnala che l’art. 37, comma 1 del Reg. UE 679/2016 prevede l’obbligo di designazione del DPO per:
– l’autorità pubblica o l’organismo pubblico, salvo il trattamento dei dati sia effettuato dalle autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali;
– tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, ambito di applicazione e/o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
– tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali, quali dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (artt. 9 e 10 del Regolamento).
Quanto al primo punto, nell’ambito dei soggetti tenuti alla designazione del RPD, non essendoci alcuna definizione nel Reg. UE di “autorità pubblica” o di “organismo pubblico” e avendo richiamato le stesse Linee guida del Gruppo-Art. 29 per la loro individuazione il diritto nazionale, rientrano i “soggetti pubblici” di cui agli artt. 18–22 del Codice della privacy (DLgs. 196/2003), ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, le Camere di commercio, industria, artigianato e agricoltura).
Qualora venga nominato un RPD interno (dipendente dell’autorità pubblica o dell’organismo pubblico), sarebbe preferibile – alla luce di quanto previsto dall’art. 38, comma 3 del Reg. UE 679/2016 – la designazione in capo ad un dirigente o a un funzionario di alta professionalità, in modo da garantire lo svolgimento delle proprie funzioni con autonomia e indipendenza, oltre che in collaborazione diretta con il vertice dell’organizzazione. Ciò in considerazione della struttura organizzativa e della complessità dei trattamenti.
Ai fini della sua nomina, non vi sono allo stato attuale certificazioni idonee a legittimare il RPD nell’esercizio delle sue funzioni (artt. 42 e 43 del Reg. UE 679/2016). Queste, infatti, anche se rappresentano un valido strumento per la verifica del possesso di un livello minimo di conoscenza della disciplina, comunque non costituiscono una “abilitazione” allo svolgimento del ruolo e, quindi, non sostituiscono a tal fine il giudizio della Pubblica Amministrazione.
Con riguardo all’atto di nomina del RPD, occorre formalizzare un apposito atto di designazione, quale parte costitutiva dell’adempimento, che, nell’ipotesi di soggetto esterno, è parte integrante di uno specifico contratto di servizi (art. 37, comma 6 del Reg. UE 679/2016).
Nello stesso atto di designazione occorre precisare le motivazioni dell’individuazione della persona selezionata, oltre ai compiti e alle sue funzioni, eventualmente ulteriori a quelli sanciti dalla legge; compiti ulteriori, però, che non devono creare conflitto di interessi.
L’atto di designazione dovrà essere modificato/integrato se si procede all’assegnazione di compiti aggiuntivi rispetto a quelli originariamente previsti.
Potrà essere istituito un apposito ufficio, sempre con l’individuazione della persona fisica che riveste il ruolo di RPD, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione. Non è consentito, invece, designare più RPD, ma solo figure di supporto, ad esempio per settori o ambiti territoriali diversi.
L’unicità della figura del RPD rappresenta una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità.