PRIVACY/ Predisposto il pacchetto per i responsabili della protezione dei dati
Pronta la procedura per l’invio dei nomi al Garante
Pagina a cura di Antonio Ciccia Messina
Pronta la procedura online per la comunicazione al Garante dei responsabili della protezione dei dati (Rpd, noti anche, con terminologia inglese, come Dpo).
Imprese ed enti sono, dunque, alle prese con un adempimento obbligatorio, per il quale il garante ha predisposto quanto richiesto dalle norme.
I responsabili della protezione dei dati sono una figura chiave per l’applicazione del Regolamento Ue sulla privacy (2016/679) e i loro nomi vanno segnalati al Garante.
Il doppio adempimento (nomina e comunicazione all’autorità dell’avvenuta nomina) deve essere realizzato entro il 25 maggio 2018 (inizio di efficacia del regolamento).
Ma vediamo di fare il punto della situazione, partendo dalle indicazioni del Garante, alle prese con tutti i preparativi necessari per l’esordio della privacy a tinte europee.
In base all’articolo 37, paragrafo 7 del Regolamento Ue/2016/679 i soggetti pubblici e privati devono comunicare al Garante il nominativo del responsabile della protezione dei dati, se designato.
I soggetti pubblici sono tutto indistintamente tenuti alla nomina. Nel settore privato l’obbligo scatta per chi, come attività principale svolta su larga scala, tratta particolari categorie di dati (biometrici, genetici e dati sensibili) o fa monitoraggio regolare e sistematico delle persone.
Il responsabile della protezione dei dati, oltre a informare, consigliare e sorvegliare il titolare del trattamento, funge anche da punto di contatto fra il singolo ente o azienda e il Garante. La comunicazione al Garante va fatta solo va eseguita unicamente in via telematica, accedendo all’applicazione disponibile all’indirizzo https://servizi.gpdp.it/comunicazione-rpd/.
La comunicazione deve essere effettuata dal legale rappresentante del soggetto titolare/responsabile del trattamento dei dati, o da un suo delegato.
Dopo avere inserito tutte le informazioni richieste, il soggetto che effettua la comunicazione riceverà una e-mail a cui sarà allegato un file. Tale file dovrà essere sottoscritto con firma digitale (o firma elettronica qualificata) in formato Cades (file con estensione p7m). La procedura di caricamento deve essere completata entro 48 ore dalla ricezione della mail contenente il file da firmare.
Per l’apposizione della firma è necessario utilizzare un dispositivo di firma digitale.
C’è un’apposita sezione del modulo online dedicata ai gruppi imprenditoriali.
In questa sezione è necessario indicare se il titolare/responsabile che effettua la comunicazione fa parte di un gruppo imprenditoriale che si è avvalso della nomina di un unico responsabile della protezione facilmente raggiungibile da ciascun stabilimento.
Bisogna, poi, specificare se il Rpd designato è un soggetto interno o esterno.
Se il Rpd è esterno, è necessario indicare la natura del soggetto (persona fisica o giuridica) con cui il titolare o responsabile del trattamento ha stipulato un contratto di servizio. Se il Dpo esterno è una persona giuridica, è necessario specificare la persona fisica individuato quale referente per il Titolare/Responsabile.
Infine vanno indicati i recapiti cui il Rpd potrà essere contattato.
Completata la procedura l soggetto designato quale Rpd riceverà, mediante comunicazione inviata all’indirizzo Pec, un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo utilizzato per la registrazione dei dati comunicati
Per eventuali future comunicazioni con l’autorità è necessario far riferimento al numero di protocollo. Eventuali ulteriori comunicazioni effettuate per conto dello stesso titolare/responsabile, qualora accettate, saranno intese come integrale sostituzione di quanto già comunicato in precedenza.
In materia va ricordato che la mancata nomina del responsabile della protezione dei dati e anche la mancata comunicazione al Garante espongono le imprese (tenuti alla nomina) e gli enti pubblici alle sanzioni amministrative previste dall’articolo 83, paragrafo 4, del Regolamento 2016/679. In particolare la violazione della disposizione di riferimento (articolo 37) è compresa tra quelle punite con sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
© Riproduzione riservata
Fonte: