A dare le indicazioni il Garante della Privacy attraverso una serie di Faq per facilitare la nomina della figura del “Responsabile della Protezione dei Dati”, figura obbligatoria per strutture sanitarie pubbliche e private, che ha il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi altresì all’esterno in via diretta con tutte le autorità di controllo
La nomina del Responsabile della Protezione dei Dati – RPD (meglio noto con l’acronimo DPO – Data Protection Officer) è uno dei punti più controversi dell’implementazione del nuovo reg. UE 2016/679 sulla data protection. Si tratta infatti di una sorta di “poliziotto buono” – designato dal Titolare e Responsabile in alcuni casi specifici (ma sempre obbligatorio per strutture sanitarie pubbliche e private), con il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi altresì all’esterno in via diretta con tutte le autorità di controllo.
Chiaro quindi che si tratta di una figura chiave (e totalmente nuova in questa funzione) sulla quale tutti i titolari – sia pubblici che privati – si stanno interrogando.
Anche perché la nomina – obbligatoria entro il 25 maggio 2018 – sarebbe comunque opportuna già da ora in fase di implementazione del Regolamento.
Allo scopo di agevolare tale compito della PA il Garante Privacy, con una serie di risposte FAQ (qui scaricabili in esteso), è intervenuto a dare indicazioni per tale nomina all’interno delle Pubbliche amministrazioni e dei concessionari delle stesse (per l’area sanitaria Ospedali, ASL, Case di cura e strutture sanitarie accreditate e contrattualizzate).
Qui una sintesi delle domande e delle relative risposte del Garante che appaiono rilevanti per l’area sanitaria.
Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?
Occorre in primo luogo valutare se il ruolo del RPD sia compatibile o meno con le mansioni svolte in qualità di dipendente, il Garante ricorda infatti che:
• il RPD non deve ricevere alcuna istruzione circa l’esecuzione dei suoi compiti (art. 38, par. 3),
• deve poter agire in maniera indipendente (considerando 97),
• riferisce sempre al vertice gerarchico (art. 38, par. 3): tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
Quindi ove si opti per un dipendente interno sarebbe opportuno che la designazione fosse conferita a un dirigente ovvero a un funzionario di alta professionalità, in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?
Il RPD è una “professione non regolamentata”: quindi le eventuali certificazioni che lo stesso possa vantare pur rappresentando un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non sono una “abilitazione” allo svolgimento del ruolo di RPD
Con quale atto formale deve essere designato il RPD?
• se il RPD è interno occorre un apposito atto di designazione a “Responsabile per la protezione dei dati”,
• se il RPD è un soggetto esterno all’ente, la designazione sarà parte del contratto di servizi che regola il rapporto (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).
Nell’ipotesi di attività di team o di incarico ad una società, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente opererà come RPD, riportandone espressamente le generalità. E’ poi necessario che nell’atto di designazione o nel contratto di servizi risultino indicate, seppur succintamente, le motivazioni che hanno indotto l’ente a scegliere quel soggetto per svolgere la funzione di RPD. In sostanza occorre motivare la scelta.
Individuato il RPD occorre:
• comunicare il nominato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante),
• indicarlo nella nell’informativa fornita agli interessati,
• pubblicare il nominativo sul sito web nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente,
• comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b) (7).
La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?
Il titolare del trattamento (ospedale, casa di cura) è tenuto a fornire al RPD le risorse – economiche, strutturali ed organizzative – per assolvere i suoi compiti.
Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD oppure se lo stesso necessità di supporti interno o esterni
All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
Resta sempre l’obbligo di individuare la persona fisica che riveste il ruolo di RPD.
È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?
Nessun problema ad identificare figure di supporto, con riferimento a settori o ambiti territoriali diversi, a patto che facciano però riferimento a un unico RPD.
Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?
L’art. 38 permette di assegnare al RPD ulteriori compiti e funzioni.
A due condizioni, a patto che:
1. consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).
Sul questo punto il Garante ritiene che l’affidamento di ulteriori compiti non sia opportuno per soggetti i molto complessi per attività e dimensione (es ospedali di ampie dimensioni)
a titolo di esempio il Garante precisa che il Responsabile per la prevenzione della corruzione e per la trasparenza, vista la rilevante mole di lavoro, non dovrebbe essere nominato RPD in quanto l’eccessivo cumulo di lavoro potrebbe essere tale da incidere negativamente sull’effettività dello svolgimento dei compiti che il Regolamento attribuisce al RPD.
2. non diano adito a un conflitto di interessi (art. 38, par. 6)
In ambito pubblico possono trovarsi in situazione di conflitto di interessi tuttie quelle figure apicali che hanno potere decisionale in relazione alle “finalità” ed ai “mezzi” del trattamento: ad esempio il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), o il quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
Anche nell’ipotesi di RPD esterno occorre verificare che lo stesso non svolga ulteriori compiti che comportino situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio, il RPD dovrà fornire opportune garanzie per favorire la correttezza nei rapporti e prevenire conflitti di interesse.