Chi tratta dati personali dovrà comunicare al Garante il nominativo del Responsabile della Protezione Dati. Ma solo "se designato".
Lo prevede il Regolamento UE/2016/679 (articolo 37, paragrafo 7) per consentire al'Autorità Garante di contattare il Responsabile della Protezione dei Dati "in modo facile e diretto".
Chi è l'RPD- Il Responsabile della Protezione dei Dati (“Data Protection Officer” – DPO) funge da punto di contatto fra il singolo ente o azienda e il Garante. L'incarico può essere ricoperto da un soggetto interno (es dipendente del titolare) o da un esterno, purchè il designato RPD conosca la realtà operativa in cui avvengono i trattamenti.
Come comunicarlo al Garante- A questo scopo, il Garante informa che nei prossimi giorni renderà disponibile la procedura online per la comunicazione del nominativo. Al solo scopo di facilitare i soggetti tenuti all'adempimento e' intanto disponibile un facsimile in formato .pdf - che non ha valore ufficiale e che non andrà utilizzato per la comunicazione al Garante; il facsimile consente di "familiarizzare con l'adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste".
Chi è tenuto a designare il Responsabile della protezione dei dati personali?
In ambito privato sono tenuti i soggetti "le cui principali attività (c.d. di "core business") consistono in trattamenti che richiedono:
-il monitoraggio regolare e sistematico degli interessati su larga scala
-trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.
I requisiti per la designazione- ll concetto di monitoraggio regolare e sistematico non trova definizione nel Regolamento europeo. Secondo il Garante " esso comprende senza dubbio tutte le forme di tracciamento e profilazione" su Internet e non solo in ambiente on line (es. attività di marketing basate sull’analisi dei dati raccolti). Nel Regolamento non si dà alcuna definizione nemmeno di cosa debba intendersi con trattamento "su larga scala". E' lo stesso Garante a dichiarare che "è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità".
Ci si deve affidare a dei criteri come "il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento".
Lo stesso Garante parla di "zona grigia", quando chiarisce che il Regolamento offre alcune esemplificazioni ai due estremi della scala (trattamento svolto dal singolo medico / trattamento di dati relativi a un’intera nazione o a livello europeo) e che fra tali estremi si colloca un’ampia zona grigia.
Interpretazione in progress- Fra gli esempi di trattamento in campo sanitario la Guida del Garante cita l'ospedale, ovvero enti sanitari che gestiscono una vasta mole di dati. "Il trattamento di dati personali - è scritto nella Guida- "non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”. Si tratta di un punto in via di costante interpretazione dal parte del Garante che ha avviato un gruppo di lavoro.
Liberi professionisti- La designazione del responsabile del trattamento non è obbligatoria in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale. Non è obbligatorio per lo studio del singolo professionista, "in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala".
Sono escluse dall'obbligo di designazione anche le attività economiche configurabili come piccole e medie imprese, salvo trattamenti di larga scala e monitoraggio sistematico.
Studi associati- Non sono invece stati esplicitamente esclusi da tale obbligo i professionisti che svolgono la professione in forma associata o in Società tra Professionisti (STP).
Tuttavia, secondo i Consulenti del Lavoro, la nomina è raccomandata a tutti gli studi professionali, "più strutturati", in virtù del principio di "accountability" che informa il Regolamento ovvero un principio che incoraggia l'adozione di "comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento".
Faq sul Responsabile della Protezione dei Dati (RPD)
Linee guida sui Responsabili della Protezione dei Dati (RPD)
NOTIZIE PIU' LETTE
- Pronto il software del concordato preventivo biennale
- Brucellosi e tubercolosi, MinSal: ulteriore tassello AHL
- Veterinari ACN, emendamento per il passaggio alla dirigenza
- Brucellosi e tubercolosi: in vigore i nuovi programmi di eradicazione
- Dispositivi veterinari: adottate le prime linee guida
- Maria Rosaria Campitiello, Capo del Dipartimento della Prevenzione