<\/p>\n
La nomina del Responsabile della Protezione dei Dati – RPD (meglio noto con l\u2019acronimo DPO – Data Protection Officer) \u00e8 uno dei punti pi\u00f9 controversi dell\u2019implementazione del nuovo reg. UE 2016\/679 sulla data protection.\u00a0Si tratta infatti di una sorta di \u201cpoliziotto buono\u201d – designato dal Titolare e Responsabile in alcuni casi specifici (ma sempre obbligatorio per strutture sanitarie pubbliche e private), con\u00a0 il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi altres\u00ec all\u2019esterno in via diretta con tutte le autorit\u00e0 di controllo.<\/p>\n
Chiaro quindi che si tratta di una figura chiave (e totalmente nuova in questa funzione) sulla quale tutti i titolari – sia pubblici che privati – si stanno interrogando.
\nAnche perch\u00e9 la nomina – obbligatoria entro il 25 maggio 2018 – sarebbe comunque opportuna gi\u00e0 da ora in fase di implementazione del Regolamento.<\/p>\n
Allo scopo di agevolare tale compito della PA il Garante Privacy, con una serie di risposte FAQ (qui <\/a>scaricabili in esteso<\/a>), \u00e8 intervenuto a dare indicazioni per tale nomina all\u2019interno delle Pubbliche amministrazioni e dei concessionari delle stesse (per l\u2019area sanitaria Ospedali, ASL, Case di cura e strutture sanitarie accreditate e contrattualizzate).<\/p>\n Qui una sintesi delle domande e delle relative risposte del Garante che appaiono rilevanti per l\u2019area sanitaria.\u00a0<\/strong><\/p>\n Nel caso in cui il RPD sia un dipendente dell’autorit<\/strong>\u00e0 p<\/strong>ubblica o dell’organismo pubblico, quale qualifica deve avere?<\/strong> Quindi ove si opti per un dipendente interno sarebbe opportuno che la designazione fosse\u00a0 conferita a un dirigente ovvero a un funzionario di alta professionalit\u00e0, in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonch\u00e9 in collaborazione diretta con il vertice dell’organizzazione.<\/p>\n Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?<\/strong> Con quale atto formale deve essere designato il RPD?<\/strong> Nell\u2019ipotesi di attivit\u00e0 di team o di incarico ad una societ\u00e0, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente operer\u00e0 come RPD, riportandone espressamente le generalit\u00e0.\u00a0E\u2019 poi necessario che nell’atto di designazione o nel contratto di servizi risultino indicate, seppur succintamente,\u00a0 le motivazioni che hanno indotto l’ente a scegliere quel soggetto per svolgere la funzione di RPD. In sostanza occorre motivare la scelta.<\/p>\n Individuato il RPD occorre:<\/p>\n \u2022 comunicare il nominato al Garante per agevolare i contatti con l’Autorit\u00e0 (anche in questo caso, in allegato alle Faq, \u00e8 riportato un\u00a0modello di comunicazione al Garante<\/a>), La designazione di un RPD interno all’autorit<\/strong>\u00e0 <\/strong>pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?<\/strong> Ne discende che, in relazione alla complessit\u00e0 (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrer\u00e0 valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD oppure se lo stesso necessit\u00e0 di supporti interno o esterni \u00c8 ammissibile che uno stesso titolare\/responsabile del trattamento abbia pi\u00f9 di un RPD?<\/strong> Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?<\/strong> A due condizioni, a patto che: 2.\u00a0non diano adito a un conflitto di interessi (art. 38, par. 6)<\/u> Anche nell\u2019ipotesi di RPD esterno occorre verificare che lo stesso non svolga ulteriori compiti che comportino situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni.\u00a0In questi casi, nell’atto di designazione o nel contratto di servizio, il RPD dovr\u00e0 fornire opportune garanzie per favorire la correttezza nei rapporti e prevenire conflitti di interesse.<\/p>","protected":false},"excerpt":{"rendered":" A dare le indicazioni il Garante della Privacy attraverso una serie di Faq per facilitare la nomina della figura del “Responsabile della Protezione dei Dati”, figura obbligatoria per strutture sanitarie pubbliche e private, che ha il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi altres\u00ec all\u2019esterno in via diretta con tutte le\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":156,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3],"tags":[128,9,10],"class_list":["post-3446","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-roles-and-liabilities","tag-data-protection","tag-data-protection-officer","tag-dpo"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/156"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3446"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3446\/revisions"}],"predecessor-version":[{"id":3453,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3446\/revisions\/3453"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nOccorre in primo luogo valutare se il ruolo del RPD sia compatibile o meno con le mansioni svolte in qualit\u00e0 di dipendente, il Garante ricorda infatti che:
\n\u2022 il RPD non deve ricevere alcuna istruzione circa l\u2019esecuzione dei suoi compiti (art. 38, par. 3),
\n\u2022 deve poter agire in maniera indipendente (considerando 97),
\n\u2022 riferisce sempre al vertice gerarchico (art. 38, par. 3): tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.<\/p>\n
\nIl RPD \u00e8 una “professione non regolamentata\u201d: quindi le eventuali certificazioni che lo stesso possa vantare pur rappresentando un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non sono una “abilitazione” allo svolgimento del ruolo di RPD<\/p>\n
\n\u2022 se il RPD \u00e8 interno occorre un apposito atto di designazione a “Responsabile per la protezione dei dati”,
\n\u2022 se il RPD \u00e8 un soggetto esterno all’ente, la designazione sar\u00e0 parte del\u00a0 contratto di servizi \u00a0che regola il rapporto (per agevolare gli enti, in allegato alle Faq, \u00e8 riportato uno\u00a0schema di atto di designazione<\/a>).<\/p>\n
\n\u2022 indicarlo nella nell’informativa fornita agli interessati,
\n\u2022 pubblicare il nominativo sul sito web nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente gi\u00e0 presente,
\n\u2022 comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b) (7)<\/a>.<\/p>\n
\nIl titolare del trattamento (ospedale, casa di cura) \u00e8 tenuto a fornire\u00a0 al RPD\u00a0 le risorse – economiche, strutturali ed organizzative – per assolvere i suoi compiti.<\/p>\n
\nAll’esito di questa analisi si potr\u00e0 valutare quindi l’opportunit\u00e0\/necessit\u00e0 di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
\nResta sempre l\u2019obbligo di individuare la persona fisica che riveste il ruolo di RPD.<\/p>\n
\nNessun problema ad identificare figure di supporto, con riferimento a settori o ambiti territoriali diversi, a patto che facciano per\u00f2 riferimento a un unico RPD.<\/p>\n
\nL\u2019art. 38 permette di assegnare al RPD ulteriori compiti e funzioni.<\/p>\n
\n1.\u00a0consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).<\/u>
\nSul questo punto il Garante ritiene che l\u2019affidamento di ulteriori compiti non sia opportuno per soggetti i molto complessi per attivit\u00e0 e dimensione (es ospedali di ampie dimensioni)
\na titolo di esempio il Garante precisa che il Responsabile per la prevenzione della corruzione e per la trasparenza, vista la rilevante mole di lavoro, non dovrebbe essere nominato RPD in quanto l\u2019eccessivo cumulo di lavoro potrebbe essere tale da incidere negativamente sull’effettivit\u00e0 dello svolgimento dei compiti\u00a0che il Regolamento attribuisce al RPD.<\/p>\n
\nIn ambito pubblico possono trovarsi in situazione di conflitto di interessi tuttie quelle figure apicali che hanno potere decisionale in relazione alle \u201cfinalit\u00e0\u201d ed ai \u201cmezzi\u201d del trattamento: ad esempio il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), o il quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).<\/p>\n