Come noto, il 25/05/2018 sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea il nuovo Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati”, cd. GDPR (General Data Protection Regulation), il quale abrogherà la Direttiva 95/46/CE oramai superata. Sul punto, il legislatore nazionale dovrebbe adottare entro lunedì 21/05 il testo definitivo di un provvedimento di modifica ed adeguamento del D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali).
Il Regolamento, agli artt. 37, 38 e 39, introduce e disciplina la figura del Responsabile della Protezione dei Dati personali (Data Protection Officer o DPO).
Secondo quanto stabilito, in particolare, dall’art. 37, par. 7, “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.
Per quanto concerne tale obbligo di comunicazione, il Garante per la protezione dei dati personali attiverà a breve la procedura telematica (la quale diventerà così l’unica modalità possibile) che consentirà di adempiere a tale obbligo popolando altresì un elenco nazionale dei DPO. Infatti, come statuisce l’art. 39, par. 1, lett. e, il DPO funge da punto di contatto fra il singolo ente o azienda e il Garante e, di conseguenza, la predisposizione di una modalità di comunicazione univoca e telematica costituisce un punto decisivo per l’attuazione del Regolamento UE 2016/679.
Pubblicità
In attesa dell’attivazione di tale procedura, sul sito dell’Autorità è disponibile un fac-simile in formato pdf che, esclusivamente a titolo dimostrativo, espone in quattro punti come sarà strutturata la comunicazione al Garante.
Il primo punto è intitolato “Dati del soggetto che effettua la comunicazione”. Può trattarsi del rappresentante legale o di un soggetto da lui delegato; in ogni caso è necessario che il soggetto che predispone la comunicazione dichiari di aver preso visione dell’informativa sul trattamento dei dati personali, spuntando l’apposita casella. Tra i dati da comunicare andrà indicato anche un indirizzo di posta elettronica che sarà quello presso il quale si riceverà il file che andrà firmato digitalmente.
Secondariamente, è previsto apposito campo per i “Dati del titolare/responsabile del trattamento”. Viene chiesto di specificare se una delle due figure è censita nell’indice nazionale dei domicili digitali delle imprese e dei professionisti o nell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi o in nessuno degli indici predetti; in questa sezione è poi stata predisposta apposita parte per i gruppi imprenditoriali, infatti, l’art. 37, par. 2 prevede che un gruppo imprenditoriale possa nominare un unico DPO, a condizione che sia facilmente raggiungibile da ogni stabilimento del gruppo, in questo caso occorre indicare se chi invia i moduli è la società controllante o una società controllata.
A seguire – parte principale della comunicazione – si trova quanto attiene al “Responsabile della Protezione dei Dati”. In questa sezione è necessario indicare i dati del DPO (tra cui indirizzo di posta elettronica ordinaria e indirizzo di posta elettronica certificata), specificando altresì se si tratta di soggetto interno od esterno (nominato in base ad un contratto di servizi), di persona fisica o di persona giuridica.
Infine, viene dato spazio alla “Pubblicazione dei dati di contatto”. Come stabilito dal Regolamento, occorre rendere pubblici i dati di contatto del DPO e, in questa quarta sezione, il Garante chiede di indicare le modalità attraverso cui si è provveduto a ciò, in particolare se tramite pubblicazione sul sito web o in altri modi. Si ricorda, inoltre, che i dati di contatto del DPO vanno indicati nelle informative agli interessati e, se presente, sul sito web dell’azienda.
Per facilitare la compilazione, vengono indicati con il simbolo dell’asterisco i campi la cui compilazione è obbligatoria.
Una volta inserite tutte le informazioni richieste dalla apposita piattaforma predisposta dal Garante, come sopra accennato, si riceverà una mail con allegato un file, questo dovrà essere sottoscritto tramite firma digitale qualificata e spedito entro 48 ore dalla ricezione (questo il termine che circola in queste ore). Se la procedura è stata eseguita correttamente, colui che ha effettuato la comunicazione riceverà il numero di protocollo della pratica. Inoltre, anche il titolare o il responsabile del trattamento e il DPO stesso saranno informati dell’esito dell’operazione attraverso l’indirizzo di posta elettronica certificata indicato nella comunicazione al Garante.
Il predetto obbligo di comunicazione riguardante la designazione del Responsabile della Protezione dei Dati scatta nel momento in cui tale nomina avviene, da effettuarsi entro il termine di entrata in vigore nell’ordinamento nazionale del Regolamento (quindi, entro il 25/05/2018).
Tale procedura telematica, finalizzata – come detto – a organizzare e gestire l’elenco nazionale dei DPO risulterà funzionale a diversi scopi. In particolare, permetterà di contattare rapidamente i Responsabili della Protezione dei Dati, quali anelli di congiunzione tra l’azienda, l’ente o l’amministrazione e il Garante e di inviare da parte del Garante documentazione, aggiornamenti o segnalazioni di iniziative rilevanti. (G.C. per NL)
