03 luglio 2017 AML: il Decreto tanto atteso è finalmente arrivato! Leggi di più
Diventa un nostro cliente

Il DPO/RDP (parte seconda): chi nominare?

dpo rdp

L’applicazione del nuovo Regolamento Generale sulla Protezione dei Dati, c.d. RGPD, è oramai un appuntamento incombente: mancano poco meno di dieci mesi al 25 maggio 2018 ed entro quella data tutto dovrà essere pronto. Traguardo arduo da raggiungere? No, se considerate per tempo le attività da implementare.

Chiarita la sussistenza o meno dell’obbligo di nomina del RPD, rimane da chiarire chi nominare

Uno degli aspetti di particolare novità introdotti dal Regolamento UE è la figura del RPD, il Responsabile alla Protezione dei Dati, di cui sono stati analizzati i presupposti per la nomina nella nostra precedente newsletter n. 1 - 2017. In quest’occasione, chiarita la sussistenza o meno dell’obbligo di nomina del RPD, rimane da chiarire chi nominare.

Come risaputo, l’introduzione di una nuova figura nell’architettura aziendale porta inevitabilmente le organizzazioni in una delicata fase decisionale necessaria per determinare il posizionamento all’interno dell’ente e implementare le necessarie azioni organizzative e di processo per garantire il rispetto dei requisiti indicati dalla disciplina. Anche in questo caso, in supporto all’analisi vi sono diversi strumenti: dapprima gli artt. 37, 38, 39 e il considerando 47 del RGPD, le “Linee guida sui responsabili della protezione dei dati (RDP)”, nella versione emendata al 5 aprile 2017, ed in ultimo il whitepaper “La figura del Data Protection Officer nel nuovo Regolamento Europeo”, pubblicato dall’Associazione Italiana IS Auditors (ISACA Milan Chapter) in collaborazione con Unione Fiduciaria.

Secondo quanto previsto dall’art. 37 del RGPD, il RPD può essere interno, dunque dipendente, ovvero esterno in base ad un contratto di servizi. Nel caso in cui sia interno, questi può essere unico in un gruppo imprenditoriale, a patto che sia facilmente “raggiungibile da ciascun stabilimento”. Il concetto di raggiungibilità è stato prontamente chiarito dalle linee guida, le quali hanno specificato che un RPD per essere raggiungibile, ovvero vicino, dovrà trovarsi almeno all’interno dell’UE e parlare la stessa lingua degli interessati e delle Autorità con cui entrerà in contatto nell’adempimento della sua funzione.

 

Per continuare la lettura, scaricare la newsletter Giugno 2017 >>