L’adempimento dovrà avvenire mediante una procedura on line non ancora operativa
Il Garante per la protezione dei dati personali, con un comunicato di ieri, ha reso disponibile un facsimile per la comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD o DPO – Data Protection Officer), anticipando il rilascio nei prossimi giorni di una specifica procedura on line. Nel comunicato viene precisato altresì che il facsimile non deve essere utilizzato per la comunicazione al Garante della privacy, consentendo solo la “familiarizzazione” con tale adempimento e una verifica preliminare delle informazioni richieste.
All’interno del facsimile, poi, viene specificato che la comunicazione deve avvenire esclusivamente mediante il canale on line, con esclusione dunque di altre modalità.
In merito, si segnala che l’obbligo di comunicazione al Garante della privacy è previsto in capo al titolare del trattamento dei dati (o al responsabile) dall’art. 37, par. 7 del nuovo Regolamento 679/2016 (GDPR), assieme a quello di pubblicazione. Tale adempimento ha l’obiettivo – così come precisato nelle Linee guida del gruppo di lavoro “Articolo 29” – di rendere il contatto fra l’autorità di controllo, oltre che degli interessati, e il RPD “facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile del trattamento” (cfr. anche l’art. 38, par. 4 e l’art. 39, par. 1, lett. e) del Regolamento).
Si fa presente, poi, che la nomina del RPD è obbligatoria se il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (salvo le autorità giurisdizionali qualora esercitino le loro funzioni giurisdizionali).
Inoltre, la designazione va fatta nel caso in cui le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che, tenuto conto di una serie di elementi (cioè, natura, ambito di applicazione e/o finalità), richiedono il monitoraggio “regolare e sistematico” degli interessati su larga scala oppure in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (art. 37, par. 1 del Regolamento).
Nonostante l’obbligatorietà della nomina sia stabilita nelle sopra citate ipotesi, le Linee guida del gruppo di lavoro “Articolo 29” e lo stesso Garante della privacy (nelle FAQ 26 marzo 2018) hanno evidenziato l’utilità della designazione su base volontaria, potendo facilitare l’osservanza della normativa sul GDPR, anche alla luce del principio di accountability (art. 39, par. 1, lett. b) del Regolamento).
Il Responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o un “esterno”, nominato in forza di un contratto di servizi. In entrambi i casi, la designazione avviene solo in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti propri di tale ruolo (art. 37, par. 5 e 6 del Regolamento).
Non sono richieste, dunque, specifiche attestazioni formali, né l’iscrizione in appositi albi.
Qualora, poi, si tratti di un gruppo imprenditoriale, inteso come “un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate” (art. 4 n. 19 del Regolamento), l’art. 37 par. 2 del Regolamento consente la nomina di un unico RPD (c.d. RPD di gruppo), purché sia facilmente raggiungibile da ciascuno stabilimento.
Tornando alla comunicazione dei dati del RPD, il facsimile è diviso in quattro sezioni.
Quanto alla prima sezione A (Dati del soggetto che effettua la comunicazione), vanno indicati nome e cognome, e-mail del soggetto (ad esempio, nella sua qualità di rappresentante legale o delegato dello stesso). Nella sezione, vi è anche la spunta per la dichiarazione di presa visione dell’informativa sul trattamento dei dati.
Nella seconda sezione B (Dati del Titolare/Responsabile del trattamento) occorre inserire, insieme ai riferimenti identificativi quali, fra l’altro, denominazione e codice fiscale/partita IVA, anche la circostanza del “censimento” negli Indici dei domicili digitali, da un lato, delle Pubbliche Amministrazioni e dei gestori di pubblici servizi e, dall’altro, delle imprese e dei professionisti (rispettivamente, artt. 6-ter e 6-bis del CAD, di cui al DLgs. 82/2005). In questo caso, va indicata obbligatoriamente anche la PEC; diversamente, qualora si tratti di soggetti non censiti nei predetti Indici, basta la e-mail.
Nell’ipotesi di un gruppo imprenditoriale, deve essere precisato, fra l’altro, se ad effettuare la comunicazione sia la controllante o la controllata (B1.Gruppi imprenditoriali).
Con riguardo alla terza sezione C (Responsabile della Protezione dei Dati), vanno comunicati del RPD il tipo di designazione (interno o esterno), la natura (persona fisica o giuridica, nel caso specifico di RPD esterno), i dati dello stesso (nel caso di RPD esterno-persona giuridica, anche l’indicazione del referente) e i dati di contatto (con indicazione anche di e-mail/PEC, cellulare).
Infine, l’ultima sezione D (Pubblicazione dei dati di contatto) fa riferimento alle modalità per rendere pubblici i dati di contatto del RPD (tramite sito web o altri sistemi).