E’ disponibile la procedura online che pubbliche amministrazioni e imprese tenute alla nomina del DPO, responsabile della protezione dei dati, devono utilizzare per effettuare le dovute comunicazioni al Garante Privacy. Si tratta, lo ricordiamo, dell’adempimento previsto dall’articolo 37 del GDPR, il tanto atteso Regolamento UE che entra in vigore in tutti gli Stati Membri il 25 maggio.
La procedura per la comunicazione dei dati del DPO (RPD – Responsabile Protezione Dati), è disponibile online sul sito dell’Authority. Nei giorni scorsi, il Garante aveva pubblicato un fac-simile della comunicazione, puramente esemplificativa, per consentire ai soggetti coinvolti di familiarizzare con l’adempimento.
Dati richiesti
Il modulo da compilare si compone di quattro parti. Nella sezione A si inseriscono altri dati relativi al soggetto che effettua la comunicazione. E al momento che il titolare del trattamento è l’impresa o il professionista tenuto alla comunicazione dei dati o la pubblica amministrazione, la comunicazione sarà effettuata dal legale rappresentante dell’azienda o dell’ente, o da un suo delegato. Bisogna indicarne cognome, nome e indirizzo di posta elettronica. Se la comunicazione è effettuata dal rappresentante legale, bisogna indicare anche nome e cognome del delegante.
La sezione B è dedicata al titolare o responsabile del trattamento. In base alla definizione contenuta nel GDPR, il titolare del trattamento è:
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il responsabile del trattamento è :
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Si barra la casella relativa all’iscrizione o meno agli indici nazionali dei domicili digitali e poi si compilano i campi seguenti: denominazione, codice fiscale o partita IVA, e via dicendo. Se il soggetto risulta iscritto agli indici nazionali, è obbligatorio indicare l’indirizzo PEC (posta elettronica certificata), mentre la mail ordinaria è facoltativa. Viceversa, per coloro che non sono iscritti agli indici nazionali, o che operano in altri stati, è obbligatorio compilare il campo dedicato all’e-mail mentre è facoltativa la PEC.
I gruppi imprenditoriali, dovranno compilare anche l’apposita sezione B1, segnalando se il soggetto che effettua la comunicazione è la controllante, una controllata, o se non fa parte di un gruppo imprenditoriale che si è avvalso della designazione del RPD di gruppo.
La sezione C riguarda il Responsabile della Protezione Dati (Data Protection Officer). Si indica innanzitutto se il soggetto è interno o esterno (in questo caso, bisogna anche specificare se si tratta di persona fisica o giuridica) e quindi si compilano i campi relativi alle sue generalità e ai dati di contatto.
Infine, la sezione D è dedicata alle modalità con cui il titolare dei dati decide di pubblicare i dati di contatto del DPO (sito web o altro).
Dopo aver compilato e inviato il file digitale, arriva una mail con un file allegato, che va sottoscritto con firma digitale o firma elettronica qualificata e inviato in formato CAdES, il tutto entro 48 ore. Il file così inviato costituisce l’avvenuta comunicazione: verrà analizzata dal Garante, che può rigettarla o accoglierla.
Attenzione: è molto importante che il file firmato digitalmente corrisponda perfettamente a quello contenuto nella mail inviata, quindi il consiglio è di non aprire il file ricevuto, limitandosi a salvarlo in locale e ad apporre la firma digitale, per non rischiare di vedersi rifiutare la domanda. L’eventuale rigetto è comunicato via mail (all’indirizzo indicato nella sezione A del modulo).
Se invece la comunicazione viene considerata valida, il soggetto che ha effettuato la comunicazione riceve (sempre via mail), un numero di protocollo utilizzato per la registrazione dei dati comunicati. Il titolare del trattamento riceve, all’indirizzo di posta elettronica indicato nella sezione B, un documento informatico con le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati. Il soggetto designato come responsabile del dati riceverà, mediante comunicazione inviata all’indirizzo PEC indicato al punto 5 della sezione C, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati.
Il numero di protocollo diventa il riferimento per tutte le successive comunicazioni con il Garante privacy.