La tutela della riservatezza dei dati personali: alcune questioni aperte ad oltre un anno dall’efficacia del G.D.P.R.

Premessa. - Sul corretto trattamento dei curricula vitae - Sulla violazione dei dati personali. - Conclusioni.

Di PIETRO CUCUMILE

Premessa.

Le pubbliche Amministrazioni ed i soggetti privati, all’indomani della piena efficacia del G.D.P.R., il nuovo regolamento europeo in tema di tutela della riservatezza personale, Regolamento (U.E.) n. 2016/679, si sono trovati investiti dalla difficoltà di valutarne preventivamente l’impatto sulla propria organizzazione, cercando di:

• adottare una nuova modulistica e nuovi contratti per la raccolta di consenso e informativa;
• predisporre nuovi contratti con responsabili del trattamento e contitolari;
• documentare l’attività svolta.

Lo sforzo dell’azione organizzatoria è stato tutto teso ad assicurare il controllo della gestione del flusso documentale, quello della conservazione dei dati (data retention), la valutazione d’impatto operativo del diritto all’oblio e la notifica in caso di violazione dei dati (data brache notification).

Per quanto, poi, le scelte organizzative più adeguate siano state lasciate alla competenza dei singoli enti, nell’ambito della loro autonomia, questi hanno dovuto curare l’istituzione di un centro di garanzia, quale il Responsabile per la Protezione dei dati (RPD), chiamato a curare, principalmente, i rapporti con gli interessati e l’interlocuzione con l’autorità di controllo[1].

Il Regolamento europeo, come è noto, ha ridisegnato gli istituti già esistenti e puntato, principalmente, sulla perimetrazione di nuovi concetti come:

• responsabilizzazione;
• contrattualizzazione dei rapporti con i responsabili del trattamento;
• istruzioni agli autorizzati a trattare i dati;
• registro dei trattamenti;
• notificazione delle violazioni;
• nomina responsabile della protezione dati;
• sistema sanzionatorio.

Campeggiano nuovi istituti e nuovi adempimenti ma, soprattutto, un nuovo approccio alla tematica della protezione dei dati personali, muovendo dal principio della liceità del trattamento e quelli ulteriori di:

• proporzionalità, adeguatezza, pertinenza e non eccedenza dei dati, rispetto alle finalità per cui sono trattati;
• tutela della privacy per progettazione e impostazioni predefinite (privacy by design e by default);
• valutazione del rischio (risk-based approach);
• valutazione d’impatto (privacy impact assessment).

L’evoluzione normativa è passata dalla costellazione dei diritti alla costruzione della propria persona, ovvero dallo ius excludendi omens alios al diritto ad intervenire per la protezione dei dati personali, transitando da una tutela rimediale ad una preventiva. Non sfugge ad alcuno che più si accentui la tutela dei dati come materia prima per la competitività economica e più diventi complicata la tutela dei dati per la persona.

Ebbene, ad oltre un anno dalla piena efficacia del G.D.P.R. appare utile soffermarsi su alcune questioni ancora aperte.

Sul corretto trattamento dei curricula vitae.

In primo luogo, è opportuno distinguere tra le due diverse situazioni che possono prospettarsi, ossia se la candidatura sia inviata, o meno, spontaneamente, o sulla base di posizioni aperte da parte di una autorità o di un organismo o altro soggetto pubblico o da parte di un soggetto privato in ambito lavorativo.

Nel caso di una candidatura spontanea (cioè presentata alla prima occasione ritenuta utile dal soggetto “interessato”), non è necessario, ad esempio, l’inserimento della “formula di consenso” al trattamento dei dati personali all’interno del curriculum vitae, poiché viene meno il presupposto di un’adeguata informativa che, in questo caso, non si rende possibile.

In merito, il quadro normativo, fino ad oggi, è sempre stato molto chiaro a partire dalla legge n.675/96 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), dalla quale si evince (all’articolo 11) che il consenso è validamente prestato solo se sia espresso liberamente, in forma specifica e documentata per iscritto e se siano state rese all’interessato le informazioni di cui all’articolo 10. È evidente, del resto, come l’“interessato”, dal momento in cui invia il proprio curriculum, possa non sapere, ad esempio, quali siano le modalità di trattamento dei dati e chi siano i soggetti ai quali gli stessi possano essere comunicati; in sostanza, il consenso non può, in questo caso, essere spontaneamente prestato, giacché non sarebbe del tutto consapevole. L’avvento, poi, del Decreto legislativo n. 196/2003 (cd. Codice della privacy) e, successivamente, del Regolamento (U.E.) 2016/679 non hanno cambiato la sostanza della questione: il consenso, per essere validamente prestato, deve essere libero, informato, esplicito, legittimo e inequivocabile e, nel caso di candidatura spontanea, il titolare del trattamento non può raccogliere preliminarmente un valido consenso, non essendo in grado di fornire un’informativa prima della raccolta dei dati.

Ciò è ulteriormente chiarito dal Decreto legge 13 maggio 2011, n. 70 (coordinato con la legge di conversione 12 luglio 2011, n. 106), che, all’articolo 6, ha previsto, al comma 2, lettera a), punto 2), l’aggiunta del comma 5-bis all’articolo 13 del Codice della privacy: “… L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f) …”. Pertanto, appare chiaro che, in caso di invio spontaneo della candidatura, si rende necessario rimettere l’informativa soltanto all’eventuale primo contatto utile con l’“interessato”.

Inoltre, per comprendere la portata del consenso, è necessario fare riferimento anche al RGPD al Considerando 32: “… Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano …”, unitamente al Considerando 40:“ … Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso … ”.

Quindi, qualora il trattamento dei dati contenuto nei curricula non possa fondarsi sul consenso dell’interessato, necessita di un’altra condizione legittimante che è ravvisabile nell’esecuzione di misure precontrattuali svolte su richiesta dell’“interessato”[2]. A tali conclusioni, d’altronde, è pervenuta anche la riforma del Codice della privacy (con il decreto legislativo n. 101/2018) che ha introdotto, tra l’altro, l’art. 111–bis con il quale ha previsto che: “… Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto …”.

Con l’occasione, giova precisare che, in caso di curricula contenenti dati sensibili, il citato decreto legge n. 70/2011, all’articolo 6, comma 2, lettera a), punto 4), ha previsto, altresì, l’aggiunto della lettera b-bis), al comma 3 dell’articolo 26 del Codice della privacy, estendendo quanto previsto dal suddetto articolo 13, comma 5-bis, anche a tale categoria di dati; a tale riguardo, è necessario, ulteriormente, evidenziare che i dati sensibili non debbono essere inseriti all’interno dei curricula spontaneamente inviati, se non riguardano le categorie protette di lavoratori, sulla base di quanto appare deducibile da una lettura dell’articolo 9 (Trattamento di categorie particolari di dati personali), paragrafo 2, lettera b), del R.G.P.D., con il quale si prevede che “… il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, … (omissis)…, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato …”.

Sulla base, invece, di posizioni aperte da parte di una autorità o di un organismo o altro soggetto pubblico o da parte di un soggetto privato per la ricerca di personale in ambito lavorativo, è necessario considerare, ad esempio, se la richiesta del curriculum avvenga o meno all’interno di un sito internet mediante l’utilizzo di appositi link: in questo caso, la candidatura sarà assimilabile ad un “invio spontaneo” e, quindi, varranno le considerazioni sopra esposte; se, invece, è previsto un meccanismo per la ricezione dei curricula (ad es., mediante compilazione di apposito form), i soggetti titolari delle posizioni aperte dovranno obbligatoriamente fornire apposita informativa prima della ricezione degli stessi.

Sulla violazione dei dati personali.

 Per «violazione dei dati personali» si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”, secondo la previsione dell’art. 4, punto 12 del “regolamento privacy europeo”.

 
 
La violazione comporta la comunicazione al Garante per la protezione dei dati personali delle violazioni di dati o incidenti informatici che possano avere un impatto significativo sui dati personali

contenute nelle banche dati.  Il titolare del trattamento dovrebbe comunicare all'interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie[3].

 
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare
danni fisici, materiali o immateriali alle persone fisiche come, ad esempio, una perdita del controllo dei dati personali che li riguardano o una limitazione dei loro diritti, oppure una discriminazione, furto o usurpazione d'identità, perdite finanziarie, una decifratura non autorizzata della pseudonimizzazione, un pregiudizio alla reputazione, una perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica[4]. Il tutto con danno reputazionale all’organizzazione, costi per il ripristino dei dati, profili di responsabilità civile e “sanzioni privacy”.

L’obbligo di notificazione delle violazioni di dati era previsto nell’ordinamento italiano solo in alcuni settori (ad esempio comunicazioni elettroniche, dati biometrici, fascicolo sanitario ex art. 23 D.P.C.M.  23 settembre 2015, n. 178, dossier sanitario, interscambio di dati negli enti pubblici, dati biometrici.
 
Ebbene, il Regolamento privacy ha esteso l’obbligo di notificazione a tutti i titolari dei dati di ogni settore nella consapevolezza che la gestione della violazione del dato non può più essere relegata ad un’attività occasionale ed estemporanea ma richiede la predisposizione di un piano strategico con adeguata descrizione delle relative misure di sicurezza, oltre alla costituzione di un team interdisciplinare.

Per completezza, occorre aggiungere che la notifica della violazione di dati non è obbligatoria
ma è subordinata alla valutazione del rischio per gli interessati che spetta al titolare. È opportuno, poi, verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se ci sia0 stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato. È opportuno, inoltre, stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto, in particolare, della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l'interessato. Si aggiunga che siffatta notifica può dar luogo a un intervento dell'autorità di controllo nell'ambito dei suoi compiti e poteri previsti dal presente regolamento[5].

Ciò detto, nel definire le modalità dettagliate e relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche ed adeguate di protezione atte a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali[6].

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.  Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo, ex art. 31.

Si ribadisce che la notifica all'autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.  Se la probabilità di tale rischio è elevata, si dovrà informare delle violazioni anche gli interessati, sempre "senza ingiustificato ritardo”.

I contenuti della notifica all'autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del Regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati[7] è chiamato a formulare linee-guida specifiche, alle quali ha già lavorando il Gruppo "Articolo 29".

 
Si ricorda, inoltre, che l'Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico (si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835) che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il Regolamento.

Tutti i titolari di trattamento dovranno, in ogni caso, documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché
 le relative circostanze e conseguenze e i provvedimenti adottati[8]; tale obbligo non è diverso, nella sostanza, da quello previsto dall'art. 32-bis, comma 7, del Codice.
Si raccomanda, pertanto, ai titolari di trattamento di adottare le misure necessarie a documentare eventuali violazioni, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d):

1. 
   b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto

di contatto presso cui ottenere più informazioni;

1. c) descrivere le possibili conseguenze della violazione dei dati personali;
2. d) descrivere le misure adottate o di cui si propone l'adozione da parte del responsabile del trattamento per porre rimedio alla violazione dei dati personali; e, anche se del caso, per attenuare i possibili effetti pregiudizievoli della violazione dei dati personali.

Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

1. a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
2. b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
3. c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

La comunicazione della violazione dei dati o degli incidenti informatici deve essere
effettuata entro 48 ore dalla conoscenza del fatto. Si pone il problema, però, 
 di come le pubbliche amministrazioni vengano a conoscenze della circostanza critica: ad esempio, attraverso le segnalazioni di cittadini o a seguito di post sui social media o tramite comunicati stampa. Varie domande si affacciano in ordine ad un siffatto fenomeno di violazione:

• chi effettua la ricognizione delle banche dati?
• Chi redige la scheda di comunicazione?
• Chi nomina l’addetto alla comunicazione del data breach?
• Chi conserva la documentazione sul data breach?
• Chi archivia in una sorta di registro – inventario tutte le violazioni di dati segnalate?
• Chi raccoglie eventuali informazioni o segnalazioni in materia di violazioni di dati?
• Chi decide se comunicare o meno la violazione agli interessati?
• Come documentare e motivare la mancata comunicazione agli utenti?
• Chi gestisce la comunicazione agli utenti, cittadini e studenti su un attacco informatico e con quali strumenti?
• Qual è il contenuto della comunicazione resa agli interessati?
• Chi è il referente aziendale autorizzato a comunicare gli sviluppi del data breach?
• Quando si è verificata la violazione?
• E’ possibile che sia ancora in corso?
• Dove è avvenuta la violazione dei dati?
• La violazione è stata comunicata agli interessati?
• Quale è il contenuto della comunicazione resa agli interessati?
• Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e prevenire simili violazioni future?

Per un data breach che riguardi le materia della TLC, ovvero le società telefoniche e internet provider, i riferimenti normativi sono l’art. 32-bis del Codice in materia di protezione dei dati personali (D. lgs. 196/2003), il Regolamento UE 611/13, il Provvedimento del Garante n. 161 del 4 aprile 2013[9].

L’obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) riguarda i fornitori di servizi telefonici e di accesso a internet (e non, ad esempio, i siti internet che diffondano contenuti, i motori di ricerca, gli internet point, le reti aziendali).

In caso di violazione dei dati personali, società di t.l.c. e I.s.p. devono:

• entro 24 ore dalla scoperta dell'evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione;
• entro 3 giorni dalla scoperta, informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal Regolamento n° 611/2013 e dal Provvedimento del Garante n. 161 del 4 aprile 2013.

La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati.  Per consentire l'attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.

Le sanzioni amministrative previste (art. 162-ter del Codice in materia di protezione dei dati personali) per mancata o ritardata comunicazione al Garante vanno da 25mila a 150mila euro; per omessa o mancata comunicazione agli utenti da 150 euro a 1000 euro per ogni società, ente o persona interessata; per mancata tenuta dell'inventario delle violazioni aggiornato variano da 20mila a 120mila euro.

Analogamente, le Amministrazioni pubbliche, entro 48 ore dalla conoscenza del fatto, sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati[10].

Inoltre, entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario[11].

Infine, in tema di biometria, entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custodi[12].

In proposito, è stato stabilito che non è lecito l’uso generalizzato e incontrollato dei cosiddetti “dati biometrici” (quelli ricavati ad esempio dalle impronte digitali o dalla topografia della mano). Questi particolari trattamenti sono stati esaminati dal Garante in un apposito provvedimento generale[13] in cui sono state previste anche alcune ipotesi di esonero dall’obbligo della verifica preliminare del Garante.

Le impronte digitali o della topografia della mano, ad esempio, possono essere usate  per presidiare gli accessi ad “aree sensibili” (processi produttivi pericolosi, locali destinati a custodia di beni di particolare valore e/o alla conservazione di documenti riservati)  oppure per consentire l'utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati; parimenti, l’impronta digitale o l'emissione vocale possono essere utilizzate per l’autenticazione informatica (accesso a banche dati o a personal computer aziendali); la firma grafometrica per la sottoscrizione di documenti informatici.

Conclusioni.

Il “Garante per la privacy” si è recentemente pronunciato anche in tema di diritto all’oblio[14], decidendo sul reclamo di un professionista che aveva richiesto, invano, a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa. La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era, poi, intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell'interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.

Alla richiesta dell'interessato di rimuovere l'Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell'UE nella Sentenza “Google Spain”.

Diversamente da Google, l'Autorità ha ritenuto fondata la richiesta del professionista affermando il principio che il diritto all'oblio può essere invocato -anche partendo da dati presenti sul web che non siano il nome e il cognome dell'interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta. Il Garante ha dunque ingiunto a Google di rimuovere l'Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Meritano una particolare menzione, per un successivo approfondimento, anche il Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 - 5 giugno 2019 nonché le Linee guida 3/2019 del 12 luglio 2019 rese note dall’European Data Protection Board (EDPB) sul trattamento dei dati personali tramite dispositivi e sistemi di videosorveglianza.

Occorre, infine, aggiungere che i sistemi di controllo biometrico e di videosorveglianza per i dipendenti delle pubbliche amministrazioni sono stati presi in considerazione dalla Legge 19 giugno 2019, n. 56 ad oggetto: "Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo"; la novella normativa prevede, all'art. 2, l'introduzione di sistemi di verifica biometrica dell'identità e di videosorveglianza per i dipendenti delle amministrazioni pubbliche ex art. 1, comma 2, D.Lgs. 30 marzo 2001, n. 165, ai fini della verifica dell'osservanza dell'orario di lavoro con sistemi di verifica biometrica dell'identità e di videosorveglianza degli accessi, in sostituzione dei diversi sistemi di rilevazione automatica.

[1] Sul portale ufficiale del Garante per la protezione dei dati personali, all’indirizzo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273, è proposto lo Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679, sulla base delle premesse che questa figura, introdotta agli artt. 37-39 del Regolamento, è obbligatoria «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a); che «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6); che deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (Considerando n. 97).

Ivi sono riportati, altresì, i compiti che il Responsabile della Protezione dei Dati personali è incaricato a svolgere, in piena autonomia e indipendenza:

1. a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
2. b) sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
3. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, ai sensi dell’articolo 35 del RGPD;

[2] Cfr. articolo 6, paragrafo 1, lettera b), del RGPD

[3] Cfr. considerando n. 86 del Regolamento

[4] Cfr. considerando n. 85 del Regolamento

[5] Cfr. considerando n. 87

[6] Cfr. considerando n. 88. Notifica, comunicazione delle violazioni all’ autorità di controllo (autorità Garante privacy), art. 33. Notifica, comunicazione delle violazioni all’interessato, art. 34

[7] Si veda art. 70, paragrafo 1, lettere g) e h)

[8] Si veda art. 33, paragrafo 5

[9] Cfr. doc. web n. 2388260

[10] Cfr. Provvedimento n. 392 del 2 luglio 2015, doc. web n. 4129029

[11] Cfr. Provvedimento n. 331 del 4 giugno 2015, doc. web n. 4084632

[12] Cfr. Provvedimento n. 513 del 12 novembre 2014, doc. web n. 3556992

[13] Cfr. doc web n.  3556992 e doc web n. 3563006, doc web n.  3556992 e doc web n. 3563006

[14] Cfr. Provvedimento del 20 giugno 2019 [9124401]: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9124401