Il Garante della Privacy, nelle “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” puntualizza che, nel caso in cui la scelta del DPO ricada su una professionalità “interna” all’ente, occorre formalizzare un “apposito atto di designazione” a “Responsabile per la protezione dei dati”.
In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del regolamento.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso atto sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del regolamento) e le funzioni che questi sarà chiamato a
svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Inoltre, raccomanda il Garante, nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, paragrafo 5 del regolamento, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.
La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di “responsabilizzazione” (c.d. “accountability”).
Sul sito del Garante è pubblicato uno “schema di designazione” del responsabile della protezione dei dati personali (in ambito pubblico).
Occorre precisare, infine, come anche per l’affidamento del servizio di DPO si debbano osservare le modalità e procedure previste dal D.Lgs. n. 50 del 2016 (Codice Appalti). In particolare va segnalato come il recente “decreto correttivo” (D.Lgs. 56 del 2017), tra le varie novità introdotte, ha anche parzialmente modificato l’art. 36 del Codice Appalti
riguardante gli “affidamenti sotto soglia”.
Coinvolgimento del DPO nelle questioni riguardanti la protezione dei dati
L’art. 38 del Regolamento, al paragrafo 1, prescrive che il Titolare e il Responsabile del trattamento si assicurano che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
È quindi fondamentale che il DPO (o, l’eventuale team) sia coinvolto il prima possibile in tutte le questioni attinenti alla protezione dei dati. Già per quanto riguarda la “valutazioni d’impatto” (DPIA) il Regolamento, all’art. 35, paragrafo 2, richiede che il DPO sia coinvolto sin dalle fase iniziali e che il titolare ha l’obbligo di consultarlo.
Assicurare un tempestivo coinvolgimento del responsabile della protezione dei dati personali, informandolo e consultandolo fin dalle fasi iniziali, renderà più facile l’osservanza del Regolamento, garantendo l’applicazione dei principio “privacy by design” sin dalla fase della progettazione.
Per le Linee Guida (punto 3.1) questa dovrebbe essere la procedura standard all’interno della struttura del titolare/responsabile del trattamento.
Inoltre è importante che il DPO sia annoverato come un interlocutore all’interno della struttura e che partecipi ai gruppi di lavoro che si occupano delle attività di trattamento dei dati.
Pertanto, occorre garantire, per esempio:
– che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
– la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla
protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
– che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccordi, il Gruppo di lavoro ex Art. 29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
– che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un
altro incidente.
L’articolo è tratto da
Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione
Dal 25 maggio 2018 il Regolamento (UE) 2016/679 in materia di protezione dei dati personali è direttamente applicato in tutti i Paesi dell’Unione Europea.L’opera, dopo una breve panoramica delle novità più significative introdotte dal Regolamento, con una particolare attenzione agli adempimenti che i soggetti pubblici devono affrontare, si propone di esaminare la nuova figura del “Responsabile della protezione dei dati personali” (anche noto come “DPO”, acronimo di Data Protection Officer). Il testo è strutturato in numerosi quesiti, di taglio pratico-operativo, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy:• Cos’è il Regolamento UE 2016/679? • Quali sono le priorità e i suggerimenti per l’adeguamento? • Quando deve essere designato un DPO? • Chi deve nominarlo? • Chi può essere nominato DPO e quali requisiti sono richiesti? • DPO dipendente oppure soggetto esterno? • Quale atto formale di nomina occorre in ambito pubblico?• Se il DPO è un dipendente pubblico quale qualifica deve avere?• Qual è la posizione del DPO nell’ente? Quali sono i suoi compiti?• È possibile nominare un unico DPO per più enti?Completa l’opera la modulistica, personalizzabile e stampabile, a cura di Nadia Corà e Guido Paratico:1. Modello di deliberazione di definizione degli obiettivi strategici2. Modello di deliberazione di approvazione del Regolamento sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali3. Regolamento sulla protezione dei dati personali4. Modello di accordo interno tra contitolari per il trattamento dei dati personali5. Modello atto di nomina incaricati6. Modello informativa trattamento dati personali7. Modello articolo per trattamento dei dati personali da utilizzare nei capitolati speciali per convenzioni8. Modello articolo per trattamento dei dati personali da utilizzare per le procedure di affidamento dei contratti9. Modello di informativa per il trattamento dei dati personali da utilizzare per iscrizione a newsletter10. Modello di privacy policy da pubblicare sul sitoStefano Comellini, Avvocato in Bologna, patrocinante in Cassazione.Nadia Corà, Avvocato amministrativista e civilista.Guido Paratico, Avvocato penalista e amministrativista.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento