x

x

Regolamento privacy - Garante privacy: la scelta del Responsabile della protezione dei dati personali deve orientarsi verso quei soggetti in possesso di conoscenze di norme di settore e in materia di privacy

Regolamento privacy - Garante privacy: la scelta del Responsabile della protezione dei dati personali deve orientarsi verso quei soggetti in possesso di conoscenze di norme di settore e in materia di privacy
Regolamento privacy - Garante privacy: la scelta del Responsabile della protezione dei dati personali deve orientarsi verso quei soggetti in possesso di conoscenze di norme di settore e in materia di privacy

Il Garante per la protezione dei dati personali si è pronunciato in merito alle prime richieste di chiarimento relative alla nomina del Responsabile della protezione dei dati personali (“RPD”), nuova importante figura introdotta dal Regolamento UE 2016/679.

Innanzitutto, il Garante, con newsletter del 15 settembre 2017, n. 432, ha ricordato che, in base al nuovo Regolamento dell’Unione Europea, la nomina del RPD è obbligatoria per le pubbliche amministrazioni e per alcuni soggetti privati, vale a dire per quei soggetti che effettuano come attività principale il monitoraggio di dati oppure trattano su larga scala dati sensibili, come, ad esempio, le strutture ospedaliere o centri clinici di analisi.

Quanto alle caratteristiche del RPD, noto anche come DPO (data protection officer), il Garante ha precisato che i responsabili dovranno avere una doppia specializzazione, vale a dire un’approfondita conoscenza in materia di privacy, nonché dello specifico settore in cui è impegnato l’ente di appartenenza.

Tali importanti precisazioni del Garante arrivano in risposta al quesito di un’azienda ospedaliera in vista dell’applicazione del nuovo Regolamento privacy UE 2016/679, in vigore dal prossimo 25 maggio 2018.

La scelta della figura del RPD dovrà essere effettuata verificando le conoscenze e le capacità di tali soggetti. Infatti, la normativa, ha ricordato il Garante, non prevede l’obbligo per i candidati di possedere titoli, attestati o abilitazioni per lo svolgimento del ruolo del RPD. Tali strumenti possono comunque rappresentare elementi preferenziali nella selezione dei responsabili, in quanto garantiscono qualità professionali acquisite e, quindi, adeguate alla complessità del compito da svolgere.

Inoltre, la normativa non prevede l’istituzione di un albo dei Responsabili della protezione dei dati che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Oltre ad avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento, il Garante ha affermato che i responsabili dovranno possedere anche conoscenze specialistiche di carattere giuridico.

In conclusione, il Garante privacy ha sottolineato che enti pubblici e società private dovranno selezionare il RPD valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati, tenendo conto del curriculum formativo del candidato.

In particolare, ha affermato il Garante: “gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti”.

Per approfondimenti sull’argomento si rinvia all’articolo “Guida IV al Regolamento Privacy UE 2016/679: il responsabile della protezione dati (DPO)”.

(Garante per la protezione dei dati personali, Newsletter del 15 settembre 2017, n. 432)