Buongiorno.
Siamo una societa' interamente partecipata dal Comune di xxx, concessionaria di diversi servizi, fra cui quello dei parcheggi a pagamento. Per tale servizio vengono rilasciati ai cittadini interessati titoli di sosta, con trattamento dei dati personali relativi ad almeno 2.000 unita'.
A seguito di precedente riscontro, l’URP del Garante ha detto che nel nostro caso non e' obbligatoria la nomina del responsabile, anche se e' fortemente raccomandata (vedasi faq n. 1 “Nuove faq sul rpd in ambito pubblico”). Questo perche' il numero dei dati di cittadini che trattiamo, per il rilascio di titoli di sosta per i parcheggi a pagamento, non si puo' intendere su larga scala (tenendo presente che i dipendenti non rientrano nei parametri del regolamento). E’ così?
Inoltre, in relazione al registro dei trattamenti, avendo una forza lavoro di n. 168 unita', esso non si rende necessario. Tuttavia alcuni dipendenti hanno riportato condanne penali. In questo caso va comunque adottato?
Ringraziando anticipatamente per il cortese riscontro, si porgono distinti saluti.
RPCT societa' xxx Multiservizi Srl
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Buongiorno.
La ringrazio per il gradimento e provvedo a rispondere ai quesiti che ha formulato in merito alla eventuale nomina del responsabile protezione dati.
1. La societa' xxx Multiservizi Srl, interamente partecipata dal Comune di xxx e concessionaria di diversi servizi, fra cui quello dei parcheggi a pagamento per i quali vengono rilasciati ai cittadini interessati titoli di sosta, con trattamento dati personali relativi ad almeno 2.000 unita' DEVE nominare un RPD non perche' vi sia un puntale obbligo giuridico al riguardo ma perche', in forza di una politica di prevenzione e salvaguardia, la societa' DEVE TUTELARE il proprio patrimonio dal RISCHIO di danni derivanti dalla violazione dei dati personali degli utenti.
Si vuole dire, in altri termini, che la societa' e' tenuta IN OGNI CASO a trattare i dati personali secondo le nuove regole europee, e il porre in essere VOLONTARIAMENTE tutti gli adempimenti (nomina RPD - registro - formazione dipendenti, etc.) funzionali alla corretta attuazione di queste regole non fa altro che rendere piu' efficace l’attuazione medesima garantendo un piu' elevato livello di tutela per la societa' e i suoi dipendenti. Oltretutto il RPD puo' svolgere una utile azione di consulenza e di supporto operativo al RPC e ai dirigenti della societa', oltre che al CdA.
Si conferma, conseguentemente, quanto comunicato dall’URP del Garante evidenziando che, nella prospettiva sopra adottata, diventa irrilevante la valutazione della presenza o meno di un trattamento su "larga scala" da parte della societa' in esame, risultando prevalente il profilo della volonta' di garantire, comunque, agli utenti la sicurezza prescritta dal legislatore mediante gli strumenti dallo stesso indicati, a prescindere dalla circostanza che il trattamento avvenga su larga scala o meno.
2. In relazione al registro dei trattamenti, questo si rende necessario laddove la societa' opti - come davvero si auspica - per la integrale attuazione, su base VOLONTARIA, degli adempimenti derivanti dal nuovo regolamento.
La circostanza che alcuni dipendenti abbiano riportato condanne penali non incide sull’obbligo di tenuta del registro in maniera diretta ma solo in modo indiretto: i dati giudiziari, infatti, richiedono speciali cautele per il loro trattamento (DPIA e misure di sicurezza ulteriori a quelle minime) e la tipologia di dato (comune, sensibile, giudiziario) va espressamente indicata nel registro delle categorie di trattamento.
Resto a Sua disposizione per ogni eventuale integrazione della risposta e La saluto molto cordialmente