Il Garante per la protezione dei dati personali, con un comunicato di ieri, ha reso nota l’attivazione della procedura per la comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD o DPO – Data Protection Officer), così come disposto ai sensi dell’art. 37, par. 7 del nuovo Regolamento 679/2016 (GDPR).
Il comunicato segue quello di pochi giorni fa, con il quale il Garante aveva reso disponibile un facsimile per tale adempimento, con scopo, però, solo dimostrativo, essendo finalizzato a consentire una verifica preliminare delle informazioni richieste nell’ambito della suddetta procedura (si veda “Dal Garante facsimile per la comunicazione del RPD” del 15 maggio 2018).

La procedura – oggetto del comunicato di ieri – è disponibile sul sito del Garante, all’indirizzo

https://servizi.gpdp.it/comunicazione-rpd/

La pagina rivolta a tale adempimento è composta da quattro parti, relative rispettivamente a:
- compilazione della comunicazione;
- istruzioni;
- facsimile del modello di comunicazione;
- pagina informativa sul Responsabile per la protezione dei dati.

La parte sulla compilazione riproduce on line il facsimile del modello di comunicazione, che – si ribadisce – ha lo scopo di far conoscere le informazioni che verranno richieste in fase di esecuzione dell’adempimento. La comunicazione, infatti, deve avvenire esclusivamente in via telematica.
Il modello è diviso nelle seguenti quattro sezioni:
- sezione A, relativa ai dati del soggetto che effettua la comunicazione e alla dichiarazione di presa visione dell’informativa sul trattamento dei dati;
- sezione B, relativa ai dati del titolare o del responsabile del trattamento, con l’indicazione anche dell’eventuale “censimento” negli Indici dei domicili digitali delle Pubbliche Amministrazioni e dei gestori di pubblici servizi e delle imprese e dei professionisti (artt. 6-ter e 6-bis del CAD, di cui al DLgs. 82/2005);
- sezione C, relativa ai dati del RPD (ad esempio, se interno o esterno);
- sezione D, relativa alle modalità di pubblicazione dei dati di contatto del RPD (sito web o altri sistemi).

Come precisato nelle istruzioni, la comunicazione deve essere effettuata dal legale rappresentante del soggetto che è titolare o responsabile del trattamento dei dati, o da un suo delegato.
Una volta terminata la fase di inserimento delle informazioni richieste, sarà inviata un’e-mail al soggetto che effettua la comunicazione; all’e-mail è allegato un file, che dovrà essere sottoscritto con firma digitale (o firma elettronica qualificata) in formato “CAdES” (file con estensione “p7m”). Tale procedura di caricamento va completata entro 48 ore dalla ricezione dell’e-mail contenente il file da firmare.

Ai fini dell’apposizione della firma occorre usare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati (www.agid.gov.it/prestatori-servizi-fiduciari-qualificati-italia).

Nelle istruzioni viene ancora evidenziato che l’invio del file firmato digitalmente rappresenta l’invio della comunicazione al Garante, con il rilascio di un ID provvisorio di comunicazione.
La comunicazione sarà, poi, oggetto di controllo sotto il profilo formale; saranno, in particolare, verificate la validità della firma digitale e la “perfetta” corrispondenza fra il file firmato e quello inviato via e-mail. Costituirà motivo di rigetto della comunicazione anche la minima modifica al file ricevuto.
Pertanto, il Garante raccomanda di non aprire il file ricevuto, procedendo solo alla sua sottoscrizione digitale, previo salvataggio in locale.

Premesso ciò, la comunicazione potrà essere respinta o accolta. Nel primo caso, il rigetto, con la motivazione, sarà inviata al soggetto che ha effettuato la comunicazione, con e-mail all’indirizzo di cui alla sezione A del modulo. Nella seconda ipotesi, invece, all’e-mail del soggetto che effettua la comunicazione (quella indicata nella sezione A del modulo) sarà inviata l’indicazione del numero di protocollo usato per la registrazione dei dati comunicati.

Inoltre, sarà inviato un documento informatico contenente le informazioni inserite all’atto della compilazione del modulo e l’indicazione del numero di protocollo usato per la registrazione dei dati comunicati, mediante comunicazione inviata:
- al soggetto titolare/responsabile del trattamento, all’indirizzo PEC indicato nella sezione B o all’altro riferimento e-mail, se si tratta di soggetto privo di PEC;
- al soggetto designato quale RPD, all’indirizzo PEC indicato al punto 5 della sezione C.

Il numero di protocollo costituisce il riferimento ai fini di eventuali future comunicazioni con il Garante. Le comunicazioni successive effettuate per conto dello stesso titolare o responsabile, se accettate, valgono a sostituire integralmente quanto già comunicato in precedenza.