PRIVACY E TRASPARENZA

DPO: Responsabile protezione dati (RPD)

Autonomia e risorse

AUTONOMIA, CONFLITTI DI INTERESSI E INCOMPATIBILITA'

Il RPD/DPO svolge le proprie funzioni in autonomia e in modo del tutto indipendente. Non riceve alcuna istruzione per quanto riguarda l'esercizio dei propri compiti.

Il Regolamento UE consente l'attribuzione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a conflitto di interessi e purché il RPD abbia tempo sufficiente per l'espletamento degli stessi (art. 38, par. 6, reg. GDPR).

È importante verificare che non vi siano conflitti d’interesse, ossia che il RPD nominato non debba controllare attività nelle quali è direttamente coinvolto.

Un RPD non può rivestire, all’interno dell’organizzazione, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare riguardo a ruoli manageriali di vertice (Direttore generale, dirigente area finanza, dirigente area comunicazione e marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se comportano la determinazione di finalità o mezzi del trattamento.

È opportuno inoltre valutare se il complesso dei compiti assegnati al RPD siano o meno compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale (si rinvia alla Faq n. 2 del documento del Garante per la protezione dei dati "Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico").

RISORSE NECESSARIE

Il RPD/DPO deve essere dotato delle risorse necessarie per adempiere adeguatamente ai propri obblighi (art. 38, par. 2, Regolamento UE: Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica»).

Per “risorse” si intendono tanto le dotazioni di tempo quanto quelle materiali: il RPD deve avere il tempo necessario e sufficiente per curare i propri adempimenti e deve poter contare su apporti finanziari, infrastrutturali e umani.

Il Titolare del trattamento deve quindi garantire al RPD/DPO supporto, risorse umane e tempi di lavoro adeguati allo svolgimento della sua funzione.

Nel caso di personale interno deve inoltre essere garantita una formazione permanente per permettergli di rimanere aggiornato sugli sviluppi nel settore della protezione dei dati.

Al RPD deve essere dato ampio accesso alle informazioni e deve essere interpellato per ogni problematica inerente la protezione dei dati e per ogni attività che implica un trattamento dati, fin dalla sua progettazione.

Il RPD/DPO di un mega Ateneo pubblico deve poter contare sulle seguenti risorse:

  • supporto attivo della funzione dei RPD da parte della Governance;
  • tempo sufficiente per espletare i compiti;
  • risorse finanziarie, infrastrutturali (sede, attrezzature, strumentazione);
  • personale qualificato;
  • accesso ai servizi della struttura per ricevere servizi, supporto e informazioni;
  • una formazione permanente.