Sul sito del Garante è disponibile la versione italiana del Manuale per gli RPD (Responsabili della protezione dati) del settore pubblico, che si affianca alla versione inglese già pubblicata in precedenza.
Il vademecum delinea e illustra con esempi pratici il ruolo e gli specifici compiti del RPD operante in una struttura pubblica. Affronta e approfondisce inoltre temi generali, come l’evoluzione normativa in ambito UE e non solo, l’applicazione del principio di accountability, i diritti degli interessati, i meccanismi di compliance previsti dal Regolamento.
Chi è il RPD
La nomina di un RPD è obbligatoria per tutte le autorità pubbliche o gli organismi che trattano dati personali che rientrano nel campo di applicazione del Regolamento.
Il Regolamento sancisce che: «Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39».
Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
Funzioni e compiti del RPD
Il Manuale offre anche una panoramica delle funzioni di competenza del RPD, che si possono così sintetizzare:
Compito preliminare:
- Delineare il contesto in cui opera il titolare
Funzioni organizzative:
- Creazione di un registro delle attività di trattamento
- Verifica delle attività di trattamento di dati personali
- Valutazione dei rischi posti dalle attività di trattamento di dati personali
- Gestione dei trattamenti che possono comportare un “rischio elevato”: come si conduce una valutazione d’impatto sulla protezione dei dati
Controllo della conformità:
- Ripetizione dei compiti 1-3 (e 4) su base continuativa
- Gestione delle violazioni dei dati personali (data breach)
- Compiti di indagine (compresa la gestione dei reclami interni)
Funzioni consultive:
- Funzioni di consulenza – aspetti generali
- Sostegno e promozione dei principi di “Data Protection by Design & Default”
- Consulenza e monitoraggio della conformità delle politiche di protezione dei dati, dei contratti tra contitolari, tra titolari, e tra titolare e responsabile, norme vincolanti d’impresa, e clausole per il trasferimento dati
- Coinvolgimento nei codici di condotta e nelle certificazioni
Cooperazione con e consultazione dell’autorità di protezione dati:
- Cooperazione con l’autorità di protezione dati
Gestione delle richieste dell’interessato:
- Gestione richieste dell’interessato
Informazione e sensibilizzazione:
- Compiti di informazione e sensibilizzazione interna ed esterna
- Pianificazione e riesame delle attività del RPD
Contenuti e struttura delle voci del registro del responsabile
In base all’art. 30, par. 2 del RGPD, il registro delle attività di trattamento di un RPD consiste nella raccolta di record di ciascuna attività; e ciascuno di tali record deve includere le seguenti informazioni:
- nome e dati di contatto dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1.