RPD (Responsabile Protezione Dati) – definizione dei contratti e delle policy da seguire

Il Responsabile della protezione dei dati deve possedere – ai sensi della normativa sulla privacy – specifiche qualità professionali: l’art. 37 comma 5 del GDPR individua tali requisiti “in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39

Tali caratteristiche e competenze debbono consentire al Responsabile di fornire un’assistenza qualificata al titolare per tutti i processi e le scelte che riguardano il trattamento dei dati personali.

La figura del Responsabile della protezione dei dati è dunque uno degli elementi portanti della struttura: per tale motivo occorre porre adeguata attenzione alla regolamentazione:

  • degli aspetti contrattuali
  • degli aspetti relativi alla definizione di una policy di gestione dei flussi informativi.

L’articolo 38 del GDPR prevede peraltro che il Responsabile della protezione dei dati debba essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti il trattamento dei dati personali”.

La norma in esame conferma che se da un lato il titolare rimane il vero fulcro della disciplina in materia di protezione dei dati, dall’altro lato il Responsabile della protezione dei dati ha un ruolo essenziale, dovendolo affiancare e dovendo fornirgli la propria assistenza qualificata per tutte le questioni inerenti il trattamento dei dati personali.

Per quanto riguarda i compiti del Responsabile della protezione dei dati l’art. 39 del GDPR prevede che:

“1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

  1. a) informare e fornire consulenza al titolare del trattamento ……. in merito agli obblighi derivanti dal presente regolamento ………….;
  2. b) sorvegliare l’osservanza del presente regolamento, ………….nonché delle politiche del titolare del trattamento ………., compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale …………;
  3. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ………
  4. d) cooperare con l’autorità di controllo;
  5. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento……

E’ di tutta evidenza che le mansioni indicate all’art. 39 del GDPR sono eccessivamente generiche e spesso non consentono alle imprese la corretta individuazione:

– delle professionalità necessarie per ricoprire il ruolo;

– del perimetro di intervento del Responsabile della protezione dei dati.

In particolare si evidenzia che solo in caso di valutazione di impatto il Responsabile viene chiamato compiutamente ad esprimersi sui processi aziendali e sulle tecnologie utilizzate in azienda.

Ora nonostante non siano citate espressamente dal dettato normativo, è evidente che la conoscenza dei processi tipici di una determinata realtà imprenditoriale o la conoscenza dei software in uso in una determinata struttura produttiva costituiscono delle skills di assoluto rilievo, che possono portare sin da subito ad una proficua collaborazione ed interazione tra il Titolare ed il Responsabile nell’adeguamento al GDPR.

La definizione degli elementi contrattuali e della policy di gestione dei flussi informativi

Al fine di ottenere l’auspicata proficua sinergia tra il Titolare ed il Responsabile, come detto nelle premesse, occorre tenere in debita considerazione la definizione sia degli aspetti contrattuali che della procedura di gestione dei flussi informativi.

A livello contrattuale è auspicabile precisare, sia nella proposta di incarico che nella lettera di incarico vera e propria, le competenze settoriali di cui deve disporre chi ricoprirà il ruolo.

Tale precisazione costituisce una prima barriera alla selezione, che dovrebbe orientare l’impresa prioritariamente su candidati che vantino una buona conoscenza del settore.

Ad integrazione dei citati accorgimenti contrattuali, occorre delineare e formalizzare una corretta politica di gestione dei flussi informativi tra i soggetti deputati al trattamento (il titolare, l’eventuale responsabile e le persone fisiche autorizzate a compiere operazioni di trattamento) e il RPD.

Tale policy dovrà dunque:

  • precisare le condizioni e le modalità di intervento da parte del Responsabile su questioni relative al trattamento di dati personali
  • specificare, eventualmente, anche le modalità mediante le quali il Responsabile possa fornire concreto supporto ai processi aziendali o alle scelte tecnologiche mediante suggerimenti operativi che favoriscano l’adeguamento ai vari obblighi del GDPR.

In definitiva, alla luce di quanto sopra evidenziato, il Responsabile per la protezione dei dati dovrà disporre di:

– elevati requisiti professionali

-conoscenza approfondita del settore

-costante necessità di aggiornamento

 

L’impresa dovrà dunque mettere in conto maggiori tempi per la selezione del candidato ed un maggiore esborso economico, ma in cambio potrà ottenere notevoli benefici, sia nell’immediato, sotto il profilo della compliance GDPR, sia in prospettiva, in ottica di sviluppo dell’azienda.

2018-10-01T19:36:04+00:00