Responsabile della protezione dei dati obbligatorio in ambito pubblico
Quando il trattamento dei dati personali è effettuato da un'autorità pubblica o da un organismo pubblico, diventerà obbligatorio dal 25 maggio 2018 obbligatorio nominare un responsabile della protezione dei dati (Dpo), in base all’articolo 37 del regolamento Ue 2016/679. Questa una delle indicazioni fornite dal Garante della privacy nelle Faq pubblicate sul sito internet volte a individuare l'ambito di applicazione e i compiti del Dpo.
Mentre in ambito privato, nella gestione corrente dell'attività produttiva e in particolare nella gestione dei dati in ambito di rapporto di lavoro, occorre individuare con esattezza se e in che misura sia obbligatoria la figura del Dpo, in quello pubblico è certo che debba essere fatto entro la predetta data.
Destinatari - In attesa che la legge individui la portata dei destinatari che rientrano nella qualifica di autorità pubblica, per il Garante sono soggetti a tale norma le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, le aziende del servizio sanitario nazionale, le autorità indipendenti eccetera. Anche per i concessionari di servizi pubblici, benché soggetti privati, è opportuno procedere alla nomina del Dpo.
Requisiti del Dpo - Il responsabile della protezione dei dati può essere un dipendente o un consulente esterno all'azienda, preferibilmente un dirigente ovvero un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell'organizzazione.
Nomina - Il Garante privacy, circa le modalità di designazione del Dpo, distingue:
- nel caso in cui la scelta ricada su una professionalità interna all'ente, occorre formalizzare un apposito atto di designazione;
- in caso, invece, di ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito contratto di servizi.
Nell'atto di designazione o nel contratto di servizi devono risultare sinteticamente indicate anche le motivazioni che hanno portato a quel tipo di nomina.
Nell'informativa fornita agli interessati vanno forniti i dati di contatto del responsabile pubblicando gli stessi anche sui siti web e a comunicarli al Garante.
Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del responsabile nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy”.
In linea di massima in relazione alla complessità e/o sensibilità dei trattamenti, è opportuno che più persona siano assegnate all'ufficio del Dpo, individuando comunque la figura del responsabile vero e proprio.
Nulla osta per il Garante, all'individuazione di più figure di supporto al Dpo, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell'amministrazione, anche se la figura del responsabile deve essere unica.
Funzioni - Oltre ai compiti di protezione dei dati, di raccordo tra titolare e dipendenti incaricati e di valutazione dell'impatto dei dati, possono essere assegnate al Dpo funzioni ulteriori, a condizione che non diano adito a un conflitto di interessi. Il Garante sconsiglia di assegnare più compiti a un Dpo nell'ambito di un'amministrazione pubblica particolarmente complessa.
