In questo articolo sfatiamo i falsi miti su RPD e GDPR. Cosa viene regolato dalla legge e cosa no? Scopriamolo insieme.
In questo articolo sfatiamo i falsi miti su RPD e GDPR. Cosa viene regolato dalla legge e cosa no? Scopriamolo insieme.
Un dovere che le aziende non possono assolutamente procrastinare ulteriormente, è quello di adeguarsi al Regolamento UE 2016/679 in materia di protezione dei dati personali.
Infatti, nonostante il Regolamento sia in vigore dal 25 maggio 2018, alcune aziende non si sono ancora conformate alle richieste e agli adempimenti imposti dalla nuova legislazione. Per fare un esempio, navigando su internet è ancora possibile trovare informative con riferimenti a vecchie normative, non corrette, incomplete o addirittura del tutto inesistenti.
Difatti, calando sulle aziende e le società che trattano i dati di persone fisiche, questa spada di Damocle ha creato uno scenario di “corsa alle armi” da parte di tutti quelli che non si erano ancora conformati alla nuova legislazione. È in questo caos che si sono insinuati numerosi consulenti improvvisati. Purtroppo questi “professionisti” non si sono dimostrati tali, creando confusione invece di supportare le aziende nel corretto adeguamento alla normativa.
Proviamo dunque a fare un po’ di chiarezza e a sfatare alcuni tabù relativi ad uno degli adempimenti in carico al Titolare del trattamento: la designazione del Responsabile della Protezione dei Dati (RPD).
Il Regolamento ci dice che:
“Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali […] o di dati relativi a condanne penali e a reati […].”
Senza soffermarsi troppo sulle parole del Regolamento (già abbastanza chiare e concise di per sé), è bene sottolineare alcuni aspetti importanti relativi a tale figura.
In primis il regolamento evidenzia il fatto che la persona che assume l’incarico di RPD deve essere “facilmente raggiungibile”, nonché poter dimostrare di essere realisticamente in grado di assolvere ai propri compiti. È bene dunque diffidare di quelle aziende che, pur di collezionare incarichi, agiscono costantemente in remoto e non possano essere fisicamente presenti in caso di necessità.
In secondo luogo, l’RPD non deve assolutamente configurarsi come un adempimento veniale da parte del Titolare del trattamento.
Difatti, il RPD non è responsabile personalmente in caso di inosservanza degli obblighi in materia di protezione dei dati. Spetta al titolare del trattamento o al responsabile del trattamento garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento.
È bene, dunque, che l’RPD venga designato sulla base di un’adeguata conoscenza della normativa e dei trattamenti dei dati personali effettuati dal Titolare.
In sostanza: sono assolutamente da evitare le soluzione sbrigative all’italiana “vabbè nominiamo la persona X”. Oltre essere impreparato e non in grado di svolgere il compito assegnatogli, la nomina di quel RPD potrebbe comportare un conflitto di interessi tra il ruolo assunto dalla persona X e quello di RPD, in aperta antitesi con quanto stabilito dal Regolamento.
Le “Linee guida sui responsabili della protezione dei dati” del Gruppo Di Lavoro Articolo 29 sottolineano il fatto che:
“il RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali […] con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”.
In ultima analisi è fondamentale ricordare che non esistono certificazioni ufficiali che abilitano alla professione di RPD.
Infatti, nonostante l’Autorità Garante abbia precisato a più riprese che non esistono titoli obbligatori o certificazioni per svolgere questo ruolo, vari enti di formazione si sono invece sbizzarriti nel proporre “corsi abilitanti” per DPO (Data Protection Officer, denominazione anglosassone del nostro RPD).
È possibile quindi trovare anche in rete moltissimi corsi dalle più disparate modalità, contenuti e durate, che promettono, a seguito il più delle volte del pagamento di una cospicua somma, il rilascio di un attestato di RPD.
La chiosa su quest’argomento la fornisce il Garante, il quale, nelle “Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” afferma che tali certificazioni, “pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD”.
Non possiamo non rimarcare quanto sia positivo il fatto che il titolare del trattamento effettui la nomina del RPD analizzando il suo profilo di esperienza e background giuridico della normativa in materia di protezione dei dati personali e la sua conoscenza dei trattamenti effettuati nella realtà in cui tale figura andrà ad operare.