Se state cercando un professionista esperto e certificato, per svolgere il ruolo di RPD – Responsabile della Protezione dei Dati Personali – nella vostra azienda o ente pubblico, sappiate che siete nel posto giusto!
SAPEVATE CHE …
- il Data Protection Officer è obbligatorio in tutti gli enti pubblici ed in alcune organizzazioni private, ma può essere nominato volontariamente in tutte le altre realtà, e che tale nomina determina una importante misura di accountability e indica una forte sensibilità aziendale verso la protezione dei dati ?
- il Data Protection Officer è un esperto con competenze multidisciplinari, che la normativa privacy affianca alle organizzazioni come sensibilizzatore e promotore della protezione dei dati personali?
- il ruolo di Data Protection Officer opera con elevata autonomia ed indipendenza e che non può svolgere attività in conflitto di interessi, come il proprio commercialista, avvocato o responsabile IT?
- gli estremi di contatto del Data Protection Officer vanno indicati nelle informative e nel sito web, e che la sua nomina deve essere comunicata, con apposita procedura, alla ns. Autorità di Controllo Nazionale?
Dapprima forniamo alcune informazioni generali su questa nuova figura, tra le più importanti novità introdotte dal Regolamento UE 679/2016.
Chi è il Responsabile della Protezione dei Dati Personali?
Il Responsabile della Protezione dei Dati Personali (di seguito RPD o R.P.D.) è un ruolo chiave, introdotto nel 2018 dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il R.P.D.. (nel codice anglosassone indicato come D.P.O. – Data Protection Officer), figura già presente in alcune legislazioni europee (in tali ambiti anche conosciuto come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura che ha un ruolo determinante nel trattamento di dati personali di una organizzazione.
Chi deve nominare il Responsabile della Protezione dei Dati Personali?
- una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
- una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.
In tutte le altre aziende, la nomina del Responsabile della Protezione dei Dati è del tutto volontaria; si tenga comunque presente che la nomina del RPD su base voontaria costituisce una forte scelta di indirizzo aziendale, che innalza sensibilmente il livello della postura privacy della organizzazione incaricante ed il livello di fiducia delle persone e/o clienti che conferiscono i loro dati personali.
Compiti del RPD
I compiti primari del Responsabile della Protezione dei Dati Personali sono:
- informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
- essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
- supportare il titolare del trattamento nelle attività susseguenti ad un eventuale data-breach.
Chi può essere nominato RPD?
In base all’articolo 37, paragrafo 5 GDPR, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento. Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di R.P.D. ; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione professionale di livello e continua. Noi lavoriamo in ambito dataprotection sin dal 1995, e siamo certificati secondo lo standard UNI 11697:2017 – profilo DPO.
Un RPD dovrebbe avere competenze legali oppure informatiche?
Generalmente, abbiamo osservato come il ruolo del RPD venga rivestito da un avvocato oppure da un esperto di tecnologia; noi riteniamo che un RPD debba avere competenze in ambito giuridico, legale, gestionale, ma anche una reale conoscenza di aspetti tecnologici ed informatici, che poi sono essenziali per comprendere i rischi e decidere le contromisure. Oggi ogni trattamento è svolto con strumenti elettronici, e per questo la protezione dei dati personali deve basarsi – in primis- sulla profonda conoscenza delle infrastrutture informative, sulle complesse misure di sicurezza da adottarsi ma anche sulle mutevoli minacce cyber. Per questo, il nostro team dispone di professionisti che coniugano competenze legali e approfondita conoscenza tecnologica di strumenti, hardware e software, che ci consente di offrire consulenza integrata sulla protezione dei dati e sulla reale sicurezza della vostra infrastruttura informativa, assicurando piena conformità normativa.
Il ruolo di Responsabile della Protezione dei Dati Personali esterno
Le organizzazioni di dimensioni limitate o che non hanno figure adeguate da investire dell’incarico di R.P.D. possono certamente nominare una figura esterna, che abbia i requisiti adatti, di rivestire il ruolo di RPD. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari. Occorre fare attenzione a che non sussistano conflitti di interessi (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali ed amministrativi già incaricati di altre mansioni che possono generare conflitti di interesse). Come abbiamo detto, il nostro team assomma vari professionisti che assommano le competenze necessarie anche per svolgere il ruolo in organizzazioni complesse o di grandi dimensioni.
Autonomia del Responsabile della Protezione dei Dati Personali
Il regolamento GDPR indica le garanzie essenziali per consentire al RPD di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.
Possiamo nominare il Commercialista, la Software House oppure il nostro Responsabile IT?
NO, in quanto sussiste un palese conflitto di interessi; inoltre, nell’atto di designazione o nel contratto di servizi devono essere indicate le motivazioni che hanno indotto il management a scegliere quel soggetto, piuttosto che un’altro, per svolgere la funzione di RPD. Inoltre, le Autorità di Controllo UE hanno già sanzionato designazioni di soggetti che non disponevano delle competenza adeguate a rivestire il ruolo di Responsabile della Protezione dei Dati Personali.
La nomina del RPD rileva il board aziendale dalle responsabilità GDPR?
No, la figura del Responsabile della Protezione dei Dati Personali è intesa come “facilitatore e controllore” delle procedure privacy aziendali adottate e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le responsabilità.
Il RPD deve essere formalmente nominato?
La nomina del RPD è un atto formale, accanto al quale deve essere presente anche la valutazione delle competenze del soggetto e le motivazioni per le quali esso è stato scelto.
Nell’ipotesi di incarico ad un team o una società (persona giuridica), occorre comunque che sia individuato in maniera inequivocabile una persona fisica che specificamente opererà come RPD, riportandone espressamente le generalità.
In tutti i casi, la nomina del ruolo dovrà essere comunicata al Garante tramite la apposita procedura on-line, e gli estremi di contatto del RPD indicati sulle informative e sul sito web aziendale.
Abbiamo esperienza, competenze ed affidabilità per svolgere il ruolo di RPD in organizzazioni ed aziende – di qualsiasi tipologia e dimensione – interessate a nominare un professionista esterno, nella città e nella provincia di Arezzo; inoltre svolgiamo attualmente dei ruoli di RPD per alcune organizzazioni nella zona di Arezzo.
Contattateci per ulteriori richieste o per un primo incontro conoscitivo, assolutamente non vincolante.