E’ stata resa disponibile la procedura online per la comunicazione al Garante dei responsabili della protezione dei dati (Rpd, noti anche, con terminologia inglese, come Dpo).

I responsabili della protezione dei dati sono una figura chiave per l’applicazione del Regolamento Ue sulla privacy 2016/679  e i loro nomi vanno segnalati al Garante.

Il doppio adempimento (nomina e comunicazione all’Autorità dell’avvenuta nomina) deve essere realizzato entro il 25 maggio 2018 (inizio di efficacia del regolamento).

La comunicazione al Garante va fatta solo va eseguita unicamente in via telematica, accedendo all’applicazione disponibile all’indirizzo https://servizi.gpdp.it/comunicazione-rpd/

Attenzione: non tutti i soggetti sono obbligati:

• I soggetti pubblici sono tutto indistintamente tenuti alla nomina.
• Nel settore privato l’obbligo scatta solo in questi casi: le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, tenuto conto di natura, ambito di applicazione e/o finalità, richiedono il monitoraggio “regolare e sistematico” degli interessati su larga scala e in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (artt. 9 e 10 del Regolamento).

Il Regolamento non precisa, però, cosa si intenda né per trattamento su “larga scala”, né per monitoraggio “regolare e sistematico” degli interessati; mentre le “attività principali” riguardano le “attività primarie” del titolare.

A titolo esemplificativo, vengono esclusi i trattamenti di dati relativi a pazienti svolti da un singolo professionista  sanitario e a condanne penali e reati svolti da un singolo avvocato.

Così per il professionista che esercita in forma individuale non è in linea generale obbligatoria la nomina di un Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) (risposta alla FAQ del Garante del 26 marzo 2018).

Sulla base dei medesimi criteri, sembra potersi anche escludere l’effettuazione della valutazione di impatto sulla protezione dei dati (DPIA – art. 35 del Regolamento), prevista, in generale, come obbligatoria per i casi di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche; se ne consiglia comunque la predisposizione perché consente di attestare di aver adottato le misure idonee a garantire il rispetto delle prescrizioni del Regolamento.