Il RGPD prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.
Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.
L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».
Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web; può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.
Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante). Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b) (7).
A cura di Giovanni Polidoro
Fonte della notizia: www.puntosicuro.it
Gruppo POLARIS Srl sarà a vostra disposizione per qualsiasi informazione e chiarimento.
Tel. 0121 30.37.68 / segreteria@gruppopolaris.org