Iscriviti
 
11 Gennaio 2018

Privacy, dal Garante nuove indicazioni sul Regolamento Europeo

 

Il Garante per la Protezione dei Dati Personali ha pubblicato on line alcune Faq sul Responsabile della Protezione dei Dati (RPD) in ambito pubblico, utili a fornire maggiori chiarimenti circa il Regolamento Europeo in materia di privacy.

Le Frequently asked questions vanno quindi ad aggiungersi alle indicazioni già diffuse con le Linee Guida adottate dal Gruppo di Lavoro ex art. 29 ("29WP”).

Le prime osservazioni riguardano la designazione del Responsabile (o Data Protection Officer, DPO), figura individuata tra dirigenti o funzionari di alta professionalità (autonomi e indipendenti nell’esercizio dell’attività) nominati da tutti i soggetti che oggi ricadono nell'ambito di applicazione degli articoli 18-22 del Codice. Tra le altre «le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti, ecc.».

Procedere alla designazione di un Responsabile è poi «fortemente raccomandato, ancorché non obbligatorio», anche per i soggetti privati che esercitano funzioni pubbliche (come i concessionari di servizi pubblici).

«Nell'esecuzione dei compiti attribuitigli ai sensi dell'articolo 39» – così come già chiarito nelle Linee Guida – il DPO non deve essere subordinato, né ricevere istruzioni sull'approccio da seguire nel caso specifico («quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l'autorità di controllo») o sull'interpretazione da dare ad una particolare questione attinente alla normativa in materia di protezione dei dati.

Inoltre – in base all'articolo 38, par. 3, del Regolamento – il Responsabile riferirà «direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento».

Per quanto concerne la possibilità di affidare al DPO anche altre funzioni, la risposta non può essere scevra da valutazioni circa il contesto di riferimento. Nonostante le norme lo consentano, infatti, è «ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle Regioni e alle Asl)».

Oltre al carico di lavoro, dovrà altresì essere considerata l’eventuale sussistenza di conflitti di interessi, ovvero sarà opportuno valutare se le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati.

Significa che, a grandi linee, in ambito pubblico, «oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell'Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici)».


Questo sito utilizza la tecnologia 'cookies' per favorire la consultazione dei contenuti e l'erogazione dei servizi proposti dall'Associazione AODV231.
Per prestare il consenso all'uso dei cookies su questo sito cliccare il bottone "OK".
Ti invitiamo a leggere la nostra policy.


Info Esci OK