Fra gli adempimenti a carico di molte imprese, con l’entrata in vigore il 25 maggio del nuovo regolamento privacy (GDPR), c’è la nomina del DPO (Data Protection Officer), in Italia recepito come Responsabile della Protezione Dati (RPD). Per la relativa comunicazione al Garante Privacy (anche questo obbligatoria), l’Authority ha messo a punto un fac simile. La trasmissione avverrà attraverso un’apposita procedura online non ancora disponibile, annunciata entro il 25 maggio.
=> Scarica il Fac Simile di Comunicazione dati DPO al Garante Privacy
Il modello che il Garante ha pubblicato ha l’unica funzione di consentire alle imprese di familiarizzare con l’adempimento e verificare, prima della compilazione online, quali saranno le informazioni richieste.
Il modulo ha un frontespizio, nel quale vanno inseriti i dati anagrafici del soggetto che effettua la comunicazione (rappresentante legale dell’impresa oppure un suo delegato). Il quadro B è dedicato al responsabile del trattamento: si indica se è censito nell’indice dei domicili digitali delle imprese o in quello delle pubbliche amministrazioni, oppure se non fa parte di nessuno dei due elenchi, e si inseriscono i dati anagrafici (bisognerà segnalare se il soggetto ha o meno partita IVA, e indicare l’indirizzo mail, oppure PEC).
Il quadro B.1 relativo ai Gruppi imprenditoriali non è obbligatorio, riguarda solo i gruppi di imprese che segnalano se designano un RPD di gruppo e se indicano anche un nome facilmente raggiungibili per ogni stabilimento.
Il quadro C è dedicato al DPO, prevede l’indicazione del tipo di designazione (interna o esterna), personalità giuridica, dati anagrafici, dati di contatto. Questi ultimi sono, obbligatoriamente: telefono, cellulare, email, indirizzo posta elettronica certificata (PEC). E’ obbligatorio pubblicare i dati di contatto, sul sito web o in altro modo (bisogna specificare nella comunicazione al garante l’opzione scelta).
In pratica questi saranno quindi i dati che l’azienda dovrà specificare nella procedura di comunicazione al garante del DPO, prevista dal comma 7 dell’articolo 37 del GDPR:
«il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo».
Il DPO ha le seguenti funzioni (elencate nell’articolo 39 del Gdpr):
- informa e fornisce consulenza all’impresa e ai dipendenti che eseguono il trattamento sugli obblighi derivanti dal presente regolamento e altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- sorveglia l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri sulla protezione dei dati, delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornisce, su richiesta, un parere sulla valutazione d’impatto sulla protezione dei dati;
- collabora con le autorità di controllo;
- è il punto di contatto per l’autorità di controllo per tutte le questioni connesse al trattamento dei dati.