PROMO PA | 10 marzo 2018 01:37

I primi chiarimenti sul responsabile protezione dati

Un nuovo adempimento per i circa 500 enti pubblici toscani (a cui vanno aggiunte le società partecipate e, secondo alcuni, quelle concessionarie di pubblici servizi): dal 25 maggio dovranno nominare un responsabile della protezione dati personali Rpd (o Dpo, se si preferisce l'acronimo inglese del data protection officer).

Tale obbligo - che a differenza dalle aziende private, per le quali si opera una differenziazione in base alle dimensioni, vale per tutte le pubbliche amministrazioni -nasce dal nuovo regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679 anche indicato con l'acronimo Gdpr).

Il Rpd è una sorta di supervisore indipendente che dovrà supportare il titolare e il responsabile della privacy nel garantire che l'organizzazione sia conforme al Gdpr. Si tratta di una funzione organizzativa, che può essere assimilata per le caratteristiche di indipendenza e di terzietà al ruolo dell'organismo di vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti) o a quello del responsabile dell'anticorruzione e trasparenza previsto dalla legge 190 del 2009.

Sotto il profilo delle responsabilità da illecito amministrativo, il Rpd non dovrebbe avere responsabilità dirette, salvo quelle in via di rivalsa sul piano risarcitorio a favore del titolare e del responsabile che abbiano subito un danno derivante da colpe o inadempienze gravi riferibili ai compiti a lui attribuiti. .

Il Rpd potrà essere un'interno all'ente, sempre che non vi sia un conflitto di interesse evidente con altri ruoli, quali per esempio l'amministratore delegato, il responsabile del personale, il responsabile del sistema informativo, il direttore sanitario, il direttore marketing. In ogni caso come risulta dalle risposte alle prime Faq del Garante, deve essere posto in condizioni di indipendenza e quindi non deve ricevere istruzioni sull'approccio da seguire nell'esecuzione dei suoi compiti, su come condurre gli accertamenti su un reclamo, se consultare o meno l'autorità di controllo. Nè deve ricevere istruzioni sull'interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.

Inoltre, il Rpd «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce in particolare che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal Rpd nell'esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile

Attualmente il Rpd si qualifica come una professione non regolamentata e conseguentemente, come accade nel settore, l'unica prova di aver conseguito un apprezzabile bagaglio professionale é quella data dagli attestati di partecipazione a corsi di aggiornamento nella materia. Tali attestati quindi rappresentano al momento le uniche fonti per poter valutare l'idoneità per svolgere il ruolo. La partecipazione alle attività formative rappresenta pertanto un elemento probante che la pubblica amministrazione potrà porre a base della motivazione circa l'individuazione del soggetto prescelto per svolgere il ruolo di Rpd.

Gaetano Scognamiglio