Privacy: la procedura di designazione del RPD
Il Garante privacy ha pubblicato alcune Faq relative alla figura del Responsabile della Protezione dei Dati (RPD) in ambito pubblico fornendo chiarimenti, in particolare, sulle procedure di designazione del RPD e sulle comunicazioni da inviare al Garante, per le quali sono stati messi a disposizione appositi modelli.
L’Autorità ha precisato che:
- in caso di assegnazione del ruolo a professionalità interna all’ente, sarà necessario un apposito atto di designazione formale a “Responsabile per la protezione dei dati”;
- nel caso di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi.
In entrambi i casi, nell’atto di designazione o nel contratto di servizi dovrà essere individuato inequivocabilmente il soggetto che opererà come RPD, le relative generalità, i compiti (eventualmente anche ulteriori, purché non incompatibili), nonchè le funzioni che questi sarà chiamato a svolgere.
Dovranno, inoltre, essere indicate le motivazioni che hanno indotto l’ente a designare la persona fisica selezionata, al fine di consentire la verifica del rispetto dei requisiti previsti dal GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.
Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) dovranno essere:
- indicati nell’informativa fornita agli interessati;
- pubblicati sul sito internet istituzionale;
- comunicati al Garante per la protezione dei dati personali.
Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.
