Se siete alla ricerca di un professionista esperto e certificato, per svolgere il ruolo di Responsabile della Protezione dei Dati Personali, nella vostra azienda o ente pubblico, in tutta la Regione Valle D’Aosta, siete nel sito giusto!
Un componente del nostro team, Dr. Mazzucchelli, ha la sua sede in provincia di Aosta ed opera giornalmente in tutta la Valle D’Aosta, oltre a svolgere – sin dal 2018 – alcuni ruoli come DPO per qualificate aziende valdostane; per un contatto rapido, troverete i suoi riferimenti alla apposita pagina dove siamo.
Di seguito, riteniamo utile fornire alcune indicazioni sulla importante figura del RPD, certamente una delle più determinanti novità portate dal GDPR.
Chi è il Responsabile della Protezione dei Dati ?
Il Responsabile della Protezione dei Dati (di seguito RPD o R.P.D.) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il Responsabile della Protezione dei Dati, figura già presente in alcune legislazioni europee (anche conosciuto come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura che ha un ruolo determinante nel trattamento di dati personali di una organizzazione.
Chi deve nominare il RPD?
- una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
- una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.
Compiti assegnati al RPD dal RGPD
I compiti primari del Responsabile della Protezione dei Dati sono:
- informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
- essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Chi può essere nominato RPD – Responsabile della Protezione dei Dati ?
In base all’articolo 37, paragrafo 5 GDPR, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario riconosciuto dalla Autorità di Controllo che abiliti al ruolo di RPD.
Sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua. Vi consigliamo quindi di valutare bene le competenze ed il curriculum del soggetto che svolgerà per voi il ruolo di RPD; noi pensiamo che nessun professionista possa occuparsi efficacemente di tutti gli ambiti consulenziali necessari ad una organizzazione.
Per questo, noi ci occupiamo solo di protezione dei dati, da quasi trent’anni, e pur non essendo strettamente necessario siamo comunque certificati TUV – Privacy Officer e UNI 11697:2017 – profilo DPO. Lo riteniamo doveroso nei confronti delle nostre aziende ed organizzazioni incaricanti.
La figura RPD esterna
Le organizzazioni di dimensioni limitate o che non hanno figure da investire dell’incarico di DPO-RPD dovranno nominare una figura esterna, che abbia i requisiti indicati, di rivestire il ruolo di RPD. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti, come nel nostro caso) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari. Occorre fare attenzione a che non sussistano conflitti di interessi (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali ed amministrativi già incaricati, oppure ad avvocati che già svolgono il ruolo di legale dell’ente).
Autonomia del RPD
Il regolamento RGPD indica le garanzie essenziali per consentire al RPD di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.
Possiamo nominare il Commercialista oppure la Software House?
No, in quanto sussiste un palese conflitto di interessi; inoltre, nell’atto di designazione o nel contratto di servizi devono essere indicate le motivazioni che hanno indotto il management a scegliere quel soggetto, piuttosto che un’altro, per svolgere la funzione di RPD. Sappiate che alcune Autorithy di Controllo hanno sanzionato la nomina del RPD in quanto inadeguata o in conflitto.
La nomina del RPD rileva il board aziendale dalle responsabilità GDPR?
No, la figura del RPD è intesa come “facilitatore e controllore” delle procedure e della sicurezza della infrastruttura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le relative responsabilità.
Il RPD deve essere formalmente nominato?
La risposta è affermativa; nell’ipotesi di incarico ad un team o una società, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente opererà come RPD, riportandone espressamente le generalità. La nomina dovrà essere comunicata al Garante, tramite la apposita procedura on-ine, e gli estremi di contatto indicati sulle informative e sul sito web aziendale.
Abbiamo un punto di presenza in Valle d’Aosta, nello specifico a Verrès; valutiamo proposte di incarico per il ruolo di DPO – RPD in organizzazioni interessate a nominare un professi