1. L’Università nomina un Responsabile della protezione dei dati (di seguito RPD).

2. Il RPD è figura specializzata nel supporto al Titolare e svolge la funzione di raccordo con il Garante per la protezione dei dati personali e di garante per i soggetti interessati.

3. Il RPD è individuato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti.

4. Il RPD dell’Università può essere un soggetto interno (dipendente dell’Università), o esterno, assolvendo in tal caso i suoi compiti in base a un contratto di servizi. Il RPD è nominato con decreto del Magnifico Rettore .

5. Il RPD (artt. 37-39 del Regolamento UE) è tenuto a svolgere i seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente Regolamento nonché dalla normativa comunitaria e nazionale relativa alla protezione dei dati;

b) sorvegliare l'osservanza del presente Regolamento e di altre disposizioni derivanti dalla normativa comunitaria e nazionale, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

d) cooperare con il Garante per la protezione dei dati personali;

e) fungere da punto di contatto per il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del Regolamento UE, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

f) collaborare nella redazione e aggiornamento dei Registri di trattamento;

g) svolgere ogni ulteriore compito attribuito dal Titolare.

6. Nell'eseguire i propri compiti il RPD considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

7. Il RPD ha ampio accesso alle informazioni ed è informato delle problematiche inerenti la protezione dei dati e relativamente alle attività che implicano un trattamento dati, fin dalla loro progettazione.

8. L’Università garantisce che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegna allo stesso attività o compiti che risultino in contrasto o conflitto di interesse.

9. Il RPD non riceve alcuna istruzione per quanto riguarda l’esecuzione dei compiti a lui affidati ai sensi dell’art. 39 del Regolamento UE.

10. L’Università non rimuove o penalizza il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio delle sue funzioni.

11. Il nominativo e i dati di contatto del RPD sono comunicati al Garante per la protezione dei dati personali. I dati di contatto del RPD sono inseriti nelle informative privacy e pubblicati sul sito internet istituzionale.

12. L’Amministrazione può costituire a supporto del RPD le seguenti figure:

a) Il Privacy Manager, figura che collabora e supporta funzionalmente il RPD; 

b) un gruppo di lavoro (privacy team) di supporto al RPD ed al Privacy Manager, al fine di sorvegliare l’osservanza del presente Regolamento;

c) una rete di referenti interni, figure che collaborano con i Responsabili interni del trattamento, nell’ambito delle strutture nelle quali i dati personali sono gestiti.

13. Le suddette figure mantengono, all’interno dell’organigramma privacy, ruoli diversi, così come previsto dall’art. 3.

14. Su indicazione del RPD e del Privacy Manager possono essere costituiti specifici gruppi di lavoro in materia di adeguamento alla normativa sulla protezione dei dati personali.

15. Il RPD redige una relazione annuale dell’attività svolta.