L’applicazione del nuovo Regolamento Generale sulla Protezione dei Dati, c.d. RGPD, è oramai un appuntamento incombente: mancano poco meno di dieci mesi al 25 maggio 2018 ed entro quella data tutto dovrà essere pronto.
Traguardo arduo da raggiungere?
No, se considerate per tempo le attività da implementare.
Uno degli aspetti di particolare novità introdotti dal Regolamento UE è la figura del RPD, il Responsabile alla Protezione dei Dati.
Chiarita la sussistenza o meno dell’obbligo di nomina del RPD, rimane da chiarire chi nominare.
Come risaputo, l’introduzione di una nuova figura nell’architettura aziendale porta inevitabilmente le organizzazioni in una delicata fase decisionale necessaria per determinare il posizionamento all’interno dell’ente e implementare le necessarie azioni organizzative e di processo per garantire il rispetto dei requisiti indicati dalla disciplina.
Anche in questo caso, in supporto all’analisi vi sono diversi strumenti: dapprima gli artt. 37, 38, 39 e il considerando 47 del RGPD, le “Linee guida sui responsabili della protezione dei dati (RDP)”, nella versione emendata al 5 aprile 2017, ed in ultimo il whitepaper “La figura del Data Protection Officer nel nuovo Regolamento Europeo”, pubblicato dall’Associazione Italiana IS Auditors (ISACA Milan Chapter).
Secondo quanto previsto dall’art. 37 del RGPD, il RPD può essere interno, dunque dipendente, ovvero esterno in base ad un contratto di servizi.
Nel caso in cui sia interno, questi può essere unico in un gruppo imprenditoriale, a patto che sia facilmente “raggiungibile da ciascun stabilimento”. Il concetto di raggiungibilità è stato prontamente chiarito dalle linee guida, le quali hanno specificato che un RPD per essere raggiungibile, ovvero vicino, dovrà trovarsi almeno all’interno dell’UE e parlare la stessa lingua degli interessati e delle Autorità con cui entrerà in contatto nell’adempimento della sua funzione.
Come prima riportato, l’attività del responsabile alla protezione dei dati può essere esternalizzata, in tal caso il titolare del trattamento è tenuto ad accertarsi che il responsabile nominato abbia i requisiti professionali necessari.
Le linee guida prevedono, inoltre, l’ipotesi in cui la funzione del responsabile esternalizzato sia svolta da un team specializzato; possibilità ammessa anche nel caso in cui la funzione sia interna.
In quest’ipotesi è necessario che vengano adeguatamente ripartiti i compiti del team e sia identificata un’unica persona che funga da referente per ogni cliente.
Ulteriore requisito da tenere in considerazione nell’analisi sulla nomina del RPD, riguarda la garanzia dell’indipendenza e l’assenza di situazioni di conflitto di interesse.
Ciò alla luce di quanto indicato dall’art. 38 comma. 6 e dal considerando 97, secondo i quali il RPD può svolgere altri compiti o funzioni, a patto che queste non si pongano in contrasto con le sue funzioni tipiche.
In primo luogo, al fine di garantire l’indipendenza del responsabile, il RGPD prevede che questi non riceva alcuna istruzione da parte del titolare o del responsabile per quanto concerne lo svolgimento dei compiti a lui affidati e non possa essere rimosso dalla sua funzione, né ricevere penalizzazioni, in rapporto allo svolgimento di tali compiti.
Secondariamente, non si verificano situazioni di conflitto con altre mansioni o funzioni laddove il responsabile non sia incaricato di definire le finalità e le modalità del trattamento dei dati personali.
A tal scopo le Linee Guida indicano come possibili situazioni a rischio la nomina di alcuni ruoli manageriali, tra cui ad esempio, l’amministratore delegato, il responsabile operativo, il responsabile finanziario, il direttore marketing, la direzione delle risorse umane nonché il responsabile IT.
Alla luce di tutto quanto sopra esposto, in molti hanno ritenuto di destinare le attività del RPD alla compliance, in quanto funzione dotata di indipendenza anche se, a tal proposito, preme sottolineare che la suddetta funzione non sempre sembrerebbe dotata delle competenze tecniche legate alla prassi in materia di protezione dei dati, richieste dall’art. 37 del RGPD.
In ultimo, il Gruppo di Lavoro 29 precisa la necessità di valutare attentamente l’impegno in termini di tempo e risorse che dovrà essere assunto dal Responsabile.
A tal proposito viene raccomandata la prassi di definire la percentuale di tempo lavorativo destinata all’attività del RPD, nonché stabilire il tempo necessario per adempiere alle relative incombenze.
§ § § § § § § §
A fronte delle prime richieste di chiarimenti in merito alla sua nomina, il Garante della Privacy, con la Newsletter n. 432 del 15 settembre 2017, ha fornito determinate indicazioni.
Nella specie, l’Autorità ha chiarito che le Pubbliche Amministrazione, così come i soggetti privati, nel scegliere il Responsabile della protezione dei dati devono verificare la presenza di competenze ed esperienze specifiche, non essendo, invece, richieste particolari attestazioni formali sul possesso di conoscenze e l’iscrizione in appositi albi.
A parere del Garante, il Responsabile della protezione dei dati deve, infatti, avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
In ogni caso il Garante si è riservato di fornire ulteriori indicazioni anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento, raccolti nell’ambito di specifici incontri che lo stesso avrà con enti sia pubblici che privati.
[ L’elaborazione dei testi, anche se curata e revisionata in base alle leggi vigenti all’epoca della pubblicazione, non può comportare specifiche responsabilità per eventuali errori o inesattezze, e non può essere considerata consulenza specifica. Si consiglia di verificare se sono state emanate delle norme o delle disposizioni ministeriali successive che ne hanno modificato il trattamento ]