Sfatiamo alcuni tabù su RPD e GDPR

Si sa, con l’anno nuovo iniziano anche i nuovi propositi: mettersi a dieta, finire quella serie TV lasciata in sospeso, leggere di più, diventare meno dipendenti dalla tecnologia… Chissà magari qualcuno ci riesce anche, ma il più delle volte ci ritroviamo distesi sul divano a guardare la TV, a navigare sui social network e a mangiare Nutella di nascosto per paura di essere scoperti dalla persona alla quale avevamo promesso “mi iscriverò in palestra!”.

Un proposito (o, meglio, un dovere) che le aziende non possono assolutamente procrastinare ulteriormente, è quello di adeguarsi al Regolamento UE 2016/679 in materia di protezione dei dati personali.

Nonostante il Regolamento sia in vigore dal 25 maggio 2018, alcune aziende non si sono ancora conformate alle richieste e agli adempimenti imposti dalla nuova legislazione. Per fare un esempio, navigando su internet è ancora possibile trovare informative con riferimenti a vecchie normative, non corrette, non complete o addirittura del tutto inesistenti.

L’avvento del nuovo Regolamento Europeo si è dimostrato una mortifera spada di Damocle.

Difatti, calando sulle aziende e le società che trattano i dati di persone fisiche, ha creato uno scenario di “corsa alle armi” da parte di tutti quelli che non si erano ancora conformati alla nuova legislazione. È in questo caos che si sono insinuati numerosi consulenti improvvisati, promettendo cure miracolose e pozioni magiche a prezzi irrisori contro il temibile mostro della privacy. Ma spesso questi placebo si sono dimostrati solo delle carote per abbindolare quelle imprese impelagate nel pantano della privacy, spesso caratterizzate da una diffusa impreparazione e dalla concezione che la privacy sia una burocrazia inutile e dispendiosa.

Proviamo dunque a fare un po’di chiarezza e a sfatare alcuni tabù relativi ad uno degli adempimenti in carico al Titolare del trattamento: la designazione del Responsabile della Protezione dei Dati (RPD).

Il Responsabile della Protezione dei Dati

Il Regolamento ci dice che “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali […] o di dati relativi a condanne penali e a reati […].”

Senza soffermarsi troppo sulle parole del Regolamento (già abbastanza chiare e concise di per sé), è bene sottolineare alcuni aspetti importanti relativi a tale figura.

In primis il regolamento evidenzia il fatto che la persona che assume l’incarico di RPD deve essere “facilmente raggiungibile”, nonché poter dimostrare di essere realisticamente in grado di assolvere ai propri compiti. È bene dunque diffidare di quelle aziende che, pur di collezionare incarichi, agiscono costantemente in remoto e non possano essere fisicamente presenti in caso di necessità.

In secondo luogo, l’RPD non deve assolutamente configurarsi come un adempimento veniale da parte del Titolare del trattamento.

Difatti, il RPD non è responsabile personalmente in caso di inosservanza degli obblighi in materia di protezione dei dati. Spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento.

È bene dunque l’RPD venga designato sulla base di un’adeguata conoscenza della normativa e dei trattamenti dei dati personali effettuati dal Titolare.

In sostanza: sono assolutamente da evitare le soluzione sbrigative all’italiana “vabbè nominiamo la persona X”. Oltre essere impreparato e non in grado di svolgere il compito assegnatogli, la nomina di quel RPD potrebbe comportare un conflitto di interessi tra il ruolo assunto dalla persona X e quello di RPD, in aperta antitesi con quanto stabilito dal Regolamento.

Le “Linee guida sui responsabili della protezione dei dati” del Gruppo Di Lavoro Articolo 29 sottolineano il fatto che:

il RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali […] con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.

Fatti e miti

In ultima analisi è fondamentale ricordare che non esistono certificazioni ufficiali che abilitano alla professione di RPD.

Infatti, nonostante l’Autorità Garante abbia precisato a più riprese che non esistono titoli obbligatori o certificazioni per svolgere questo ruolo, vari enti di formazione si sono invece sbizzarriti nel proporre “corsi abilitanti” per DPO (Data Protection Officer, denominazione anglosassone del nostro RPD).

È possibile quindi trovare anche in rete moltissimi corsi dalle più disparate modalità, contenuti e durate, che promettono, a seguito il più delle volte del pagamento di una cospicua somma, il rilascio di un attestato di RPD.

La chiosa su quest’argomento la fornisce il Garante, il quale, nelle “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” afferma che tali certificazioni, “pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD”.

Non possiamo non rimarcare quanto sia positivo il fatto che il titolare del trattamento effettui la nomina del RPD analizzando il suo profilo di esperienza e background giuridico della normativa in materia di protezione dei dati personali e la sua conoscenza dei trattamenti effettuati nella realtà in cui tale figura andrà ad operare.

Vuoi maggiori informazioni su questo tema?

Guarda i nostri webinar  Privacy: Keep calm! e GDPR: Un mese dopo

Iscriviti alla nostra pagina Facebook FAQ D.Lgs 81/08 e GPDR

Contattaci alla email info@qes.toscana.it per chiederci come possiamo aiutare la tua azienda! I nostri consulenti saranno a disposizione per ogni aiuto di cui tu possa avere bisogno!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Fill out this field
Fill out this field
Inserire un indirizzo email valido.
Devi accettare i termini per procedere

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Menu