• informazioni@maragines.com

Archivio dei tag DPO

On line il modello per comunicare i dati del DPO

È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD all’Autorità Garante in Italia. Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.

Cosa serve per compilarlo

Ci sono le istruzioni ma in effetti è una operazione molto semplice, per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.

Servono anche tutte le informazioni del DPO/RPD: quindi il suo cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.

Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).

Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.

Per i gruppi imprenditoriali

Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.

Chi lo può compilare

Non lo può compilare, apparentemente, per sé, il DPO/RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata: niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.

Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la mia deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…

Come si fa

Semplice: si compila online in ogni parte, si compila anche il “Codice di sicurezza” e si “Invia”, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…) il file file firmato con estensione p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID Provvisorio di comunicazione.

L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprilo…).

Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:

  • scriverà al “soggetto che ha effettuato la comunicazione” dandogli un numero di protocollo che diverrà importantissimo;
  • il Titolare del trattamento (come indicato nella comunicazione), all’indirizzo PEC riceverà un documento di sintesi di tutte le informazioni inviate;
  • il soggetto indicato quale RPD/DPO riceverà all’indirizzo PEC un documento con tutte le informazioni inserite e il numero di protocollo già menzionato.

Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.

Osservazioni

Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose mi fanno storcere un poco il naso, non penso tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.

Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non riesco ad apprezzare la scelta di rendere obbligatorio l’uso di una PEC.

La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo sarò costretto a farne uso.

Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.

Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indiazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.

1