Thursday 10 May 2018 13:42:17

Normativa  Procedimento Amministrativo e Riforme Istituzionali

Il Nuovo Regolamento Ue sulla Protezione dei Dati Personali, gli adempimenti necessari entro il 25 maggio 2018

Nota del Dott. Adriano Marini collaboratore della Gazzetta Amministrativa

A decorrere dal 25 maggio 2018 (art. 99) si applica il nuovo Regolamento UE n. 679/2016 – Regolamento generale sulla protezione dei dati personali “RGPD”- , con conseguente abrogazione della precedente Direttiva 95/46/CE.

Il nuovo regolamento è direttamente applicabile, da tale data, in ogni stato europeo, a prescindere da eventuali normative di recepimento interne (l’Italia ha approvato la legge delega 25.10.2017, n. 163, ma non ancora i conseguenti decreti delegati).

 

Gli adempimenti minimi indispensabili, che devono essere posti in essere entro tale data, sono costituiti da:

1. la designazione del Responsabile della Protezione dei dati (RPD) 

2. l'istituzione del Registro delle attività di trattamento 

 

1. Designazione del Responsabile della Protezione dei dati (RPD) (artt. 37-39)

Accanto alle tradizionali figure del “titolare del trattamento” e del “responsabile del trattamento”, il Regolamento UE n. 679/2016 ha introdotto la nuova figura del “Responsabile Protezione Dati” RPD (secondo l’acronimo inglese DPO “Data Protection Officer”), con il compito di (art. 39): 

“a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGDP nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del RGDP, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento….;

d) cooperare con l'autorità di controllo (Garante); 

e) fungere da punto di contatto per l'autorità di controllo (Garante)per questioni connesse al trattamento, tra cui la consultazione preventiva …, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.”

 

La designazione di un RPD è obbligatoria per le P.A. (l'art. 37, par. 1, lett. a), del RGPD, prevede la designazione di un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico…”)

 

Il responsabile della protezione dei dati può essere un dipendente dell’Ente oppure un soggetto esterno , selezionato mediante procedura di evidenza pubblica, che opera in base a un contratto di servizi (art. 39)

Per l’individuazione del RPD, tanto interno che esterno all’Ente, è necessario verificare la presenza di competenze ed esperienze specifiche, ma non sono richieste attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali. Secondo il Garante, “dovranno avere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte. La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati.”

 

Nel caso in cui si opti per un RPD interno non è richiesta espressamente una particolare qualifica, ma è necessario che il livello di inquadramento sia adeguato ai compiti assegnati a tale figura: compiti aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l'autorità di controllo e contatto con gli interessati) da assolvere con un grado sufficiente di autonomia all'interno dell'organizzazione. Secondo il Garante “sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza”

 

Non è possibile nominare più di un RPD all’interno dell’Ente (l'unicità della figura è condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità), mentre nulla osta all'individuazione di più figure di supporto del RPD. 

 

Per l’individuazione è necessaria l’adozione di un formale provvedimento. A tal fine il Garante ha predisposto uno schema di atto di designazione  (allegato A), da adeguare alle esigenze di ciascun Ente.

 

Si ritiene che il provvedimento di designazione, negli enti locali, debba essere adottato dal Titolare del trattamento. Sarebbe opportuna, a tal fine, una precisazione all’interno dell’apposito regolamento comunale. Nessuna indicazione può essere ricavata, al riguardo, dal RGPD, rivolto ad un’ampia varietà di soggetti pubblici e privati (l’art. 37, c. 1, non distingue, per tale adempimento, tra titolare del trattamento e responsabile del trattamento).

 

Il nominativo del RPD deve essere comunicato al Garante, secondo il modello appositamente predisposto (allegato B).

 

2. Istituzione del Registro delle attività di trattamento (art. 30)

Ogni responsabile del trattamento deve tenere, in forma scritta, anche in formato elettronico,

 un Registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30, c.1), nonché un Registro di tutte le categorie di attività relative al trattamento (art. 30, c. 2).

 

Il Regolamento UE definisce le informazioni che devono essere, rispettivamente, contenute in detti Registri.

Registro delle attività:

"a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.” (art. 30, c.1)

 

Registro di tutte le categorie di attività:

“a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.” (art. 30, c.2)

 

L’individuazione del RPD e l’istituzione del Registro, da attuare comunque entro il 25 maggio, non esauriscono gli adempimenti necessari per la piena attuazione del Regolamento UE n. 679/2016, a partire dall’approvazione di un regolamento comunale che possa chiarire punti non definiti dal RGPD, in relazione alla propria struttura organizzativa.

 

Allegato A

 

Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679

Premesso che:

- Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) (artt. 37-39);

- Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a);

- Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD);

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

- Le disposizioni prevedono inoltre che «un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37, paragrafo 3);

Considerato che l’Ente X:

- è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, par. 1, lett a) del RGPD; 

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

- ha ritenuto di avvalersi della facoltà, prevista dall’art. 37, paragrafo 3, del Regolamento, di procedere alla nomina condivisa di uno stesso RPD con gli Enti X, Y, Z, sulla base delle valutazioni condotte di concerto con i predetti Enti in ordine a … (es. dimensioni, affinità tra le relative strutture organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);

- all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il ……………., sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;

DESIGNA

(generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l’Ente X,

 

Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;

b) sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;

d) cooperare con il Garante per la protezione dei dati personali; 

e) fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

(è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.:

f) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite…)

 

I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di dati effettuati dall’ Ente X. 

L’Ente X si impegna a:

a) mettere a disposizione del RPD le seguenti risorse al fine di consentire l’ottimale svolgimento dei compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del personale);

b) non rimuovere o penalizzare il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio delle sue funzioni;

c) garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse; 

DELIBERA

di designare ……………………………… come Responsabile dei dati personali (RPD) per l’Ente X

Data …………..

Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell’Ente (url…., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.

  

Allegato B

 

MODELLO COMUNICAZIONE AL GARANTE DEI DATI DELL’RPD AI SENSI DELL’ART. 37, PAR. 1, LETT. A) E PAR. 7, DEL RGPD

DATI DEL TITOLARE/RESPONSABILE DEL TRATTAMENTO

 

Denominazione ente: ……………………………………………….………………………………....

Codice Fiscale /P.Iva ………………………………………………………………………………….

Via / Piazza ……………………………………………………….. N. civico …….…………………

Città …………….……………………Cap. ……………… Provincia ……………………………….

Telefono …………………………………. Fax ………………………………………………………

Email ………………………….…      Pec ……………………………………………………………

Sito istituzionale ………………………………………………………………………………………

 

DATI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI

 

Nome e cognome: …………………………………………………………………………………….

Data e luogo di nascita:………………………………………………………………………………..

Sede (solo ove diversa da quella del titolare)

Via / Piazza ……………………………………………………….. N. Civico …….………………..

Città …………….……………………Cap. ……………… Provincia ……………………………….

Telefono …………………………………. Fax ………………………………………………………

Email ………………….. Pec …………………………………………………………………………

In caso di stipulazione del contratto di servizio con una persona giuridica, indicare anche i seguenti dati della medesima:

Denominazione:……………………………………………….……………………………………….

Via / Piazza ……………………………………………………….. N. Civico …….………………...

Città …………….……………………Cap. ……………… Provincia ……………………………….

Telefono …………………………………. Fax ………………………………………………………

Email ……………….……..   Pec ………………………. Sito web …………………………………

Informativa ai sensi della disciplina in materia di protezione dei dati personali

Il Garante per la protezione dei dati personali utilizzerà i dati personali trasmessi, con modalità elettroniche e su supporti cartacei, affinché il RPD possa fungere da punto di contatto tra il titolare/responsabile del trattamento e l’Autorità per le questioni riguardanti la protezione dei dati personali. Il loro conferimento è obbligatorio ai sensi degli artt. 37-39 del Regolamento (UE) 2016/679. Ciascun interessato ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dal Regolamento in relazione al trattamento degli stessi dati.

 

 

Per ulteriori informazioni ed approfondimenti è possibile consultare il sito del Garante della Privacy: 

http://www.garanteprivacy.it/regolamentoue

 

 

Testo del Provvedimento (Contenuto Riservato)

 

Se hai già aderito:

Entra

altrimenti per accedere ai servizi puoi:

Abbonarti

oppure

Sostenere la fondazione

 

Ultime Notizie

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 15 October 2018 08:42:08

Edilizia: serve il  permesso di costruire per le verande realizzate sulla balconata di un appartamento

“Va premesso che, ai sensi dell’art. 10, comma l, lettera c), del testo unico dell’edilizia (d.P.R. n. 380 del 2001), le opere di...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. VI del 09.10.2018, n. 5801

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 15 October 2018 08:37:47

Distanze tra costruzioni: la giurisdizione

“la domanda volta alla tutela del diritto di proprietà leso dalle costruzioni realizzate in spregio alle norme sulle distanze tra cost...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 10.10.2018, n. 5821

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 15 October 2018 08:27:16

L’attribuzione del carattere di demanialità comunale ad una via privata

La Quarta Sezione del Consiglio di Stato nella sentenza del 10 ottobre 2018 ha affermato che “è ben noto che per consolidata giurispru...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 10.10.2018, n. 5820

Procedimento Amministrativo e Riforme Istituzionali - Monday 15 October 2018 08:20:27

Giudizio di ottemperanza: la contestazione degli atti del commissario

La Quarta Sezione del Consiglio di Stato nella sentenza depositata in data 10 ottobre 2018 ha affermato che “L’art. 114, comma 6, c.p.a...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 10.10.2018, n. 5824

Pubblico Impiego e Responsabilità Amministrativa - Monday 15 October 2018 08:09:51

Il riconoscimento della patologia contratta da causa di sevizio

La giurisprudenza amministrativa (Cons. Stato, sez. III, 24 ottobre 2016 n. 4152; sez. IV, 4 maggio 2011 n. 2583) ha affermato che “ a far da...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 10.10.2018, n. 5822

Procedimento Amministrativo e Riforme Istituzionali - Monday 15 October 2018 08:06:25

Processo amministrativo: il rinvio indeterminato agli atti di primo grado è una formula di stile inidonea per i motivi di appello

si rileva poi che nella prima parte dell’appello la parte impugnante si è limitata ad enunciare l’intenzione di riproporre &ldqu...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 10.10.2018, n. 5820

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 15 October 2018 07:53:42

Espropriazioni: la giurisdizione sulle controversie concernenti la determinazione e la corresponsione delle indennità

“il Collegio non ritiene di avere giurisdizione sul punto: tale opinamento risulta conforme a quanto affermato da Cass., Sez. Un., 2016 n. 15...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 9.10.2018, n. 5812

Procedimento Amministrativo e Riforme Istituzionali - Monday 15 October 2018 07:29:06

Processo amministrativo: in appello le parti diverse dall’appellante possono riproporre domande e le eccezioni con semplice memoria difensiva

Nel processo amministrativo, successivamente all’entrata in vigore del codice (D.lgs. n. 104/2010, ratione temporis applicabile alla fattispe...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 9.10.2018, n. 5814

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 15 October 2018 07:24:27

Inquinamento ambientale: quando la comunicazione di avvio del procedimento volto ad identificare il soggetto responsabile è immediatamente impugnabile

Nella controversia in esame col ricorso di primo grado è stata impugnata la comunicazione di avvio del procedimento volto ad identificare il...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 9.10.2018, n. 5814

Giustizia e Affari Interni - Sunday 14 October 2018 22:08:34

Abuso d’ufficio: la prova del dolo intenzionale prescinde dall'accertamento dell'accordo collusivo con la persona che si intende favorire

La Sezione III Penale nella sentenza pubblicata in data 11.10.2018 (Presidente: RAMACCI Relatore: ZUNICA data udienza 20.6.2018) ha affermato che &...

segnalazione del Prof. avv. Enrico Michetti della sentenza della Corte di Cassazione Sez. III Penale del 11.10.2018, n. 46080

Top