La comunicazione del nominativo, interno o esterno, del Responsabile della Protezione dei dati (R.P.D o D.P.O), se designato, dovrà essere effettuata solo on line utilizzando l’apposita procedura messa a disposizione dal Garante per la protezione dei dati personali sul proprio sito (LINK alla pagina).
E’ disponibile anche un facsimile in formato .pdf, la cui funzione, come ricorda lo stesso Garante, è solo di consentire di “familiarizzare con l’adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste”.
E’ questo il contenuto di sintesi del comunicato del Garante per la protezione dei dati personali.
Il comunicato dell’Autorità, pubblicato solo oggi 18 maggio sul sito del Garante, comprende:
- il modello per la compilazione della dichiarazione;
- le istruzioni;
- il fac-simile del modello di comunicazione (da non utilizzare per la comunicazione al Garante);
- la pagina informativa sul RPD.
Nomina – La comunicazione al Garante del nominativo del R.P.D. è prevista dall’art. 37, paragrafo 7 del Regolamento UE/2016/679 (RGPD). La nomina di questa figura è obbligatoria, fra l’altro, se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
Il RGPD, com’è noto, non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo ex Art. 29 ne rimette l’individuazione al diritto nazionale. Non essendo stato ancora emanato il decreto legislativo necessario ad adeguare il Codice privacy del 2003 alle disposizioni del RGPD, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.), come si legge nelle Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico.
Può essere designato un unico R.P.D. per più autorità o organismi pubblici, tenendo però in debita considerazione la loro dimensione e struttura organizzativa.
Compiti – E’ appena il caso di ricordare che il R.P.D. può essere anche un esterno e, persino una persona giuridica. In ogni caso, deve essere un soggetto con conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e in grado di assolvere i delicati e complessi compiti che il RGPD gli assegna. Il rapporto fra il titolare del trattamento e il R.P.D. deve essere sempre formalizzato, anche nel caso di nomina di un interno. Nell’atto di nomina o nel contratto con la figura esterna devono essere specificati gli effettivi compiti che dovrà svolgere, indicati dall’art. 39 dello stesso Regolamento almeno nei seguenti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Conclusioni – Mancano ormai pochi giorni al 25 maggio, data di entrata in vigore del Regolamento privacy n. 679/2016, ma molte pubbliche amministrazioni, specie gli enti locali, arriveranno impreparate all’appuntamento, se si eccettueranno forse alcuni adempimenti formali, quali, appunto, la designazione e la comunicazione al Garante del nominativo del R.P.D. e dei suoi dati di contatto, nonché la pubblicazione di queste informazioni sui siti istituzionali. Peraltro, non è stato ancora pubblicato e, quindi, non è noto il testo definitivo del decreto legislativo di adeguamento della nostra normativa privacy al Regolamento Ue e di contestuale abrogazione dei commi 1021 e 1024 dell’art. 1 della legge di bilancio 2018, approvato in Consiglio dei ministri lo scorso 21 marzo, che dovrebbe entrare in vigore lo stesso giorno del RGPD. Il nuovo complesso scenario mancherà, quindi, di un tassello molto importante, anche se non giuridicamente necessario, che avrebbe potuto aiutare i titolari e i responsabili del trattamento nell’attuazione dei nuovi delicati adempimenti.