Il Garante della Privacy, nelle “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” puntualizza che, nel caso in cui la scelta del DPO ricada su una professionalità “interna” all’ente, occorre formalizzare un “apposito atto di designazione” a “Responsabile per la protezione dei dati”.
In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del regolamento.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso atto sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del regolamento) e le funzioni che questi sarà chiamato a
svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Inoltre, raccomanda il Garante, nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, paragrafo 5 del regolamento, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.
La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di “responsabilizzazione” (c.d. “accountability”).
Sul sito del Garante è pubblicato uno “schema di designazione” del responsabile della protezione dei dati personali (in ambito pubblico).
Occorre precisare, infine, come anche per l’affidamento del servizio di DPO si debbano osservare le modalità e procedure previste dal D.Lgs. n. 50 del 2016 (Codice Appalti). In particolare va segnalato come il recente “decreto correttivo” (D.Lgs. 56 del 2017), tra le varie novità introdotte, ha anche parzialmente modificato l’art. 36 del Codice Appalti
riguardante gli “affidamenti sotto soglia”.
Coinvolgimento del DPO nelle questioni riguardanti la protezione dei dati
L’art. 38 del Regolamento, al paragrafo 1, prescrive che il Titolare e il Responsabile del trattamento si assicurano che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
È quindi fondamentale che il DPO (o, l’eventuale team) sia coinvolto il prima possibile in tutte le questioni attinenti alla protezione dei dati. Già per quanto riguarda la “valutazioni d’impatto” (DPIA) il Regolamento, all’art. 35, paragrafo 2, richiede che il DPO sia coinvolto sin dalle fase iniziali e che il titolare ha l’obbligo di consultarlo.
Assicurare un tempestivo coinvolgimento del responsabile della protezione dei dati personali, informandolo e consultandolo fin dalle fasi iniziali, renderà più facile l’osservanza del Regolamento, garantendo l’applicazione dei principio “privacy by design” sin dalla fase della progettazione.
Per le Linee Guida (punto 3.1) questa dovrebbe essere la procedura standard all’interno della struttura del titolare/responsabile del trattamento.
Inoltre è importante che il DPO sia annoverato come un interlocutore all’interno della struttura e che partecipi ai gruppi di lavoro che si occupano delle attività di trattamento dei dati.
Pertanto, occorre garantire, per esempio:
– che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello;
– la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla
protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea;
– che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccordi, il Gruppo di lavoro ex Art. 29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO;
– che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un
altro incidente.
L’articolo è tratto da
Scrivi un commento
Accedi per poter inserire un commento