Archivio per Categorie
Ultimi Speciali

Privacy: le funzioni del D.P.O quale responsabile dei dati

Con quale atto formale deve essere nominato il DPO

L’atto di designazione varia a seconda che l’azienda abbia optato per una soluzione interna oppure esterna, nel primo caso si ricorrerà all’adozione di un atto con il quale si formalizza tale nomina, mentre nel secondo caso la designazione farà parte di un apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del Regolamento.

Si riporta, a tale proposito l’ Allegato A alle Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD, che contiene un facsimile (predisposto dal Garante) da utilizzare per la nomina del D.P.O.

 

Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679

Premesso che:

  • Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) (artt. 37-39);
  • Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a);
  • Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD);

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

  • Le disposizioni prevedono inoltre che «un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37, paragrafo 3);

Considerato che l’Ente X:

  • è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, par. 1, lett a) del RGPD;

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

  • ha ritenuto di avvalersi della facoltà, prevista dall’art. 37, paragrafo 3, del Regolamento, di procedere alla nomina condivisa di uno stesso RPD con gli Enti X, Y, Z, sulla base delle valutazioni condotte di concerto con i predetti Enti in ordine a … (es. dimensioni, affinità tra le relative strutture organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);
  • all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il ……………., sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;

DESIGNA

(generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l’Ente X,

 

Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
  2. sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;
  4. cooperare con il Garante per la protezione dei dati personali;
  5. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

(è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.:

  1. tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite…)

 

I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di dati effettuati dall’ Ente X.

L’Ente X si impegna a:

  1. mettere a disposizione del RPD le seguenti risorse al fine di consentire l’ottimale svolgimento dei compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del personale);
  2. non rimuovere o penalizzare il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio delle sue funzioni;
  3. garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;

DELIBERA

di designare ……………………………… come Responsabile dei dati personali (RPD) per l’Ente X

Data …………..

Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell’Ente (url…., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.

Fonte:


1a Parte: Chi deve nominare il DPO?
2a Parte: La nomina del Responsabile della protezione dati per i Gruppi Imprenditoriali
3a Parte: Esiste un albo dei DPO?
4a Parte: Con quale atto formale deve essere nominato il DPO
5a Parte:

Torna alla pagina iniziale dello Speciale
Aggiornata il: 01/03/2018