Entro il 25 Maggio 2018, i soggetti tenuti alla designazione di un Data Protection Officer (DPO), hanno l’obbligo di comunicare gli estremi identificativi del Responsabile della Protezione dei Dati (RPD) nominato al Garante Privacy.

Tale adempimento è disciplinato dal comma 7 dell’articolo 37 del Regolamento Europeo Privacy UE/2016/679 (GDPR) e impone ad ogni titolare del trattamento o a ogni responsabile del trattamento di rendere pubblici i dati di contatto del proprio Data Protection Officer (DPO) e di comunicarli all’Autorità Garante per la Protezione dei Dati Personali.

I dati di contatto del DPO, possono essere resi pubblici mediante pubblicazione sul sito web istituzionale di un’apposita pagina dedicata all’esercizio dei diritti dell’interessato o tramite il loro inserimento nell’informativa privacy e la pubblicazione di quest’ultima on-line.

La comunicazione del nominativo del Data Protection Officer al Garante Privacy, deve essere effettuata mediante una procedura di invio telematico (in fase di ultimazione) o mediante l’utilizzo di un apposito modello denominato “Modello di comunicazione al Garante dei dati dell'RPD ai sensi dell'art. 37, par. 1, lett. a) e par. 7, del RGPD - Dati del titolare/responsabile del trattamento”.

Nel caso in cui i dati del DPO non vengano resi pubblici e comunicati al Garante Privacy entro il 25 Maggio 2018, il Regolamento Privacy UE/2016/679 (GDPR) prevede una sanzione amministrativa fino a € 10.000.000 o al 2% del fatturato mondiale (ove superiore) per il trasgressore.

Essendo l’omissione di tale obbligo facilmente identificabile e contestabile, i titolari del trattamento e i responsabili del trattamento tenuti alla designazione del Data Protection Officer, devono affrettarsi a designare un DPO, che possa dimostrare di avere una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati personali (mediante presentazione di un attestato di avvenuta Formazione Specialistica DPO o di una Certifcazione DPO delle competente ai sensi della norma UNI 11697:2017), e a pubblicarne e comunicarne gli estremi di contatto al Garante Privacy.

Tale adempimento non va preso alla leggera, in quanto il mancato rispetto del termine perentorio del 25 Maggio 2018, comporta di fatto la sanzionabilità dell’illecito per i successivi cinque anni, ovvero fino al 24 Maggio 2023.

La fretta di adempiere all’obbligo di designazione di un DPO, non deve, però, portare all’affidamento dell’incarico ad un soggetto, che non possieda tutti i requisiti previsti dal GDPR per ricoprire il ruolo di Responsabile della Protezione dei Dati (RPD), in quanto in tal caso si sarebbe comunque soggetti ad una sanzione fino a € 10.000.000 o al 2% del fatturato mondiale (ove superiore) per inidonea designazione, derivante da una “culpa in eligendo” del titolare del trattamento o del responsabile del trattamento.

Dr. Eric Falzone – Data Protection Officer (DPO) – Partner EUCS

©EUCS 2018 - Articoli Privacy EUCS