DPO - Data Protection Officer - Privacy

Responsabile della Protezione dei Dati personali (RPD o DPO) in conformità alla previsione contenuta nell’art. 37, par. 1, lett a) del RGPD, è il dott. Ivano Pecis – I&P Partners s.r.l.

Il Comune si avvale obbligatoriamente di un Responsabile della protezione dei dati (RPD o DPO), in possesso delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di competenza.

Il Responsabile della protezione è designato con decreto del Sindaco. Al fine di garantire continuità del servizio, in cado di variazione del DPO/RPD, la nomina può essere fatta antecedentemente alla scadenza del predecessore, indicando chiaramente la data d’inizio dell’attività. Sino alla designazione del nuovo Responsabile della protezione dei dati si intende prorogata di diritto la designazione del Responsabile della protezione dei dati in carica.

Responsabile della protezione dei dati può essere designato il Segretario Comunale o un Responsabile TPO o un dipendente a tempo indeterminato di questo Comune inquadrato in una categoria non inferiore alla D) qualora in possesso di titoli abilitativi, attestati di specifici corsi e competenze documentabili ovvero un soggetto esterno, persona fisica o soggetto giuridico appositamente qualificato.

L’assenza di conflitti di interesse anche potenziali con l’esercizio dei propri compiti è strettamente connessa agli obblighi di indipendenza del RPD.

I dati identificativi e di contatto del Responsabile della protezione dei dati sono pubblicati nel sito web istituzionale dell’Ente, rendendoli accessibili da un apposito link, comunicati all’Autorità di controllo, comunicati ai componenti degli organi di governo, a tutti i dirigenti e dipendenti comunali, ai componenti degli organi di controllo interni nonché sono inclusi in tutte le informative rese agli interessati ai sensi degli articoli 14 e 14 del GDPR.

Il Responsabile della protezione dei dati (RPD) che deve essere in possesso di:

• un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
• deve adempiere alle sue funzioni in totale indipendenza e in assenza di conflitti di interesse;
• operare alle dipendenze del Titolare del trattamento oppure sulla base di un contratto di servizio.

Il RPD è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti. Il Titolare del trattamento mette a disposizione del DPO le risorse necessarie per adempiere ai suoi compiti e accedere ai dati personali e ai trattamenti. Il RPD svolge i seguenti compiti, nel rispetto del segreto professionale e della riservatezza:

• informa e fornisce consulenze al Titolare del trattamento, nonché formazione ai dipendenti che eseguono il trattamento dei dati, con cadenza almeno annuale, in merito agli obblighi vigenti relativi alla protezione dei dati, estesa altresì all’utilizzo di nuove tecnologie quali, ad esempio, la videosorveglianza, analizza i sistemi informativi e l’impatto delle nuove tecnologie in ambito del trattamento dati al fine di consigliare l’ente nell’adozione delle misure di sicurezza;
• verifica l’attuazione e l’applicazione della normativa vigente in materia, nonché delle politiche del Titolare o del Responsabile del trattamento relative alla protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
• fornisce, qualora venga richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorveglia i relativi adempimenti;
• garantisce risposte istantanee (o comunque non superiori ai termini indicati dal Regolamento europeo 2016/679/UE e dalla normativa in materia) ed un numero illimitato di interventi e risposte afferenti alla materia di propria competenza;
• funge da punto di contatto per gli interessati in merito al trattamento dei loro dati personali e all’esercizio dei diritti;
• funge altresì da punto di contatto e cooperare con il Garante per la protezione dei dati personali per questioni connesse al trattamento dei dati, tra cui la consultazione preventiva.

Il ruolo del Responsabile Protezione Dati- Pareri

 Il Responsabile protezione dati fornisce il proprio parere in ordine alla legittimità e alla correttezza dei trattamenti di dati personali sulle istanze che le strutture dell’Ente presentano nei casi di seguito indicati.

 Pareri obbligatori

Devono essere obbligatoriamente richiesti pareri in ordine a:

• individuazione delle misure che abbiano un significativo impatto sulla protezione dei dati personali che l’Ente intende adottare ai fini della tutela della riservatezza, integrità e disponibilità del patrimonio informativo dell’Ente, anche a seguito di incidenti di sicurezza o analisi dei rischi;
• adozione di policy e disciplinari in materia di protezione dei dati personali e sicurezza delle informazioni, redazione e aggiornamento dei disciplinari tecnici con impatto sulla sicurezza delle informazioni;
• individuazione di misure poste a mitigazione del rischio delle criticità emerse dall’analisi dei rischi, che abbiano un significativo impatto sulla protezione dei dati personali;
• incidenti sicurezza.

Pareri facoltativi

Possono essere inoltre richiesti, se ritenuti utili, pareri in ordine a:

• progettazione di nuove applicazioni o modifica sostanziale di quelle esistenti, in aderenza al principio della privacy by design e by default;
• valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del Regolamento 2016/679;
• valutazione dell’eventuale pregiudizio che l’accesso civico potrebbe comportare agli interessi dei controinteressati, nella misura in cui questi afferiscono alle tutele dei loro dati personali ai sensi del comma 2 dell’art. 5-bis del D.Lgs. 14 marzo 2013, n. 33 e, in via generale, del Regolamento UE n. 679/2016;
• opposizione formulata dai controinteressati nella misura in cui questa sia riferibile ad elementi afferenti alla protezione dei dati personali, valutando la probabilità e la serietà del danno agli interessi degli opponenti.

Le richieste di parere devono essere inviate esclusivamente all’indirizzo di posta elettronica certificata dell’Ente, e per conoscenza al Responsabile di P.O. della  U.O. competente in materia privacy e protezione dati. Possono presentare le richieste di parere i TPO designati relativamente alla disciplina di trattamento dati nelle materie di rispettiva competenza.

I pareri sono espressi nel rispetto delle seguenti codifiche:

• NC: acronimo di “non conformità”, nei casi in cui siano rilevati elementi di non conformità alla normativa e alle policy in materia di protezione dei dati personali;
• OS: acronimo di “osservazione”, nei casi in cui vi siano elementi di miglioramento che garantiscono una maggiore aderenza alla normativa e alle policy in materia di protezione dei dati personali, non costituendo vincolo di attuazione;
• PO: acronimo di “positivo”, nei casi in cui siano prospettati elementi valutati come conformi alla normativa e alle policy regionali in materia di protezione dei dati personali.

Nei casi in cui il DPO esprima pareri “NC” e “OS” il Titolare di PO deve formalizzare, nelle medesime forme utilizzate dal DPO per l’espressione del parere, le motivazioni che giustificano l’esecuzione dell’attività o l’implementazione della soluzione tecnologica, in contrasto alle indicazioni fornite dal DPO. I pareri espressi dal DPO sono conservati agli atti dell’U.O. che ne ha fatto richiesta e quella competente in materia di privacy ( AA.GG.).