13 settembre 2018 Archivio Antiriciclaggio, svolta in arrivo Leggi di più
Diventa un nostro cliente

News GDPR privacy: FAQ sul DPO in ambito privato

GDPR Privacy 1

Nell’ambito del nuovo Regolamento Europeo in materia di protezione dei dati personali (cosiddetto GDPR) si segnala la pubblicazione nel sito ufficiale del Garante per la Protezione dei Dati Personali, in data 26 marzo 2018, di un comunicato avente ad oggetto nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito privato.

Tra i quesiti chiariti dall’Autorità si evidenzia quello relativo ai soggetti privati obbligati alla designazione dell’RDP, che sono stati individuati dal Garante a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento. Tra i quesiti chiariti dal Garante, le cui risposte possono risultare di primaria utilità per i titolari che si trovano in questi ultimi due mesi ad affrontare l’adeguamento al GDPR, si evidenzia quanto indicato in ordine alla domanda: “Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?” ovvero: “Sì, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).”

 

Altra indicazione importante risulta quella fornita rispetto al quesito: “Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali? ” ovvero: “Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: vedi anche il Considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (vedi, in proposito, le menzionate Linee Guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”

Ultimo aspetto da evidenziare, oltre alle altre indicazioni riportate nelle FAQ, risulta la messa a disposizione da parte del Garante del format riferito al modello comunicazione al garante dei dati del DPO-RPD ” (anche se “non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo”).