DPO in ambito pubblico: documento di indirizzo del Garante Privacy

DPO in ambito pubblico: documento di indirizzo del Garante Privacy

Conscio del fatto che, nel settore pubblico (ove, peraltro, la designazione del Responsabile della protezione dei dati (RPD) rappresenta un obbligo, ai sensi dell’art. 37, paragrafo 1), lettera a), del Regolamento UE n. 2016/679 (GDPR), il dover nominare un RPD (o, DPO) sia stato, talvolta, vissuto come un (mero) adempimento formale, senza, dunque, l’adeguata (e fondamentale) comprensione e consapevolezza circa l’importanza di tale figura professionale (interna ovvero esterna, all’ente pubblico di riferimento) deputata a svolgere l’attività di consulenza, di supporto e di vigilanza alla correttezza delle operazioni di trattamento effettuate dal Titolare del trattamento (pubblico), il Garante per la protezione dei dati personali (Garante Privacy) ha deciso di adottare, ai sensi del combinato disposto tra l’art. 57, paragrafo 1), lettere b) e d), del GDPR e l’art. 154 bis, comma 1), lettera a), del novellato D.Lgs. n. 196/2003 (Codice Privacy), e di pubblicare, in data 24.5.2021, il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, al fine così di fornire le risposte chiarificatrici agli interrogativi di maggior rilievo che gli sono stati posti durante il triennio appena trascorso, e conseguentemente orientare i competenti Titolari del trattamento nello svolgimento delle attività ad essi richieste.

A tal riguardo, viene, innanzitutto, posta in evidenza la centralità della funzione del RPD, il quale svolge, da un lato, un ruolo di “facilitatore”, giacché, ai sensi dell’art. 39, paragrafo 1), lettere d) ed e), del GDPR, ha il compito di agevolare l’accesso, da parte del Garante Privacy, ai documenti e alle informazioni necessarie per l’adempimento dei compiti ex artt. 57 e 58 del GDPR; per altro verso, viene ricordato che l’importanza del DPO è dovuta, in particolar modo, all’esercizio dei suoi compiti consultivi, onde così permettere alla relativa amministrazione pubblica di poter trovare, in prima battuta, le risposte al proprio interno, nel rispetto (e nella valorizzazione) del principio di accountability di cui agli artt. 5, paragrafo 2), e 24 del GDPR.

Posto in risalto il ruolo ed i compiti del DPO, il Garante Privacy ha deciso, poi, di ricordare che, al di là dei soggetti pubblici (es. amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; enti pubblici non economici nazionali, regionali, locali; Regioni ed enti locali; Università; Camere di Commercio; Aziende del Servizio Sanitario Nazionale), ai soggetti privati che esercitano funzioni pubbliche è fortemente raccomandato nominare il DPO, stante il fatto che le caratteristiche delle operazioni di trattamento da questi poste in essere sono assimilabili a quelle effettuate dai soggetti pubblici, in ragione peraltro della medesima riconducibilità ai compiti di interesse pubblico.

Sul punto, è stato precisato, da un lato, che, nelle more della selezione di un nuovo RPD (esterno), l’amministrazione pubblica è tenuta ad individuare (e, poi, a comunicare al Garante Privacy), al proprio interno, un dirigente/funzionario da designare interinalmente in questo ruolo, nel rispetto del principio di continuità e di buon andamento dell’azione amministrativa.

Per altro verso, il Garante Privacy ha osservato che la possibilità di nominare, ai sensi dell’art. 37, paragrafo 3), del GDPR, un DPO “in comune” tra più Titolari del trattamento deve essere oggetto di un processo di valutazione particolarmente attento, soprattutto laddove tali soggetti pongono in essere operazioni di trattamento su dati personali particolarmente delicati ovvero nel caso in cui essi operano in contesti molto differenti tra di loro (es. Comuni ed Istituti Scolastici).

In relazione, invece, alle qualità professionali che deve possedere il DPO, l’Authority ha rilevato che quest’ultimo deve, senz’altro, possedere un’adeguata conoscenza non solo (ed ovviamente) della normativa (prassi, giurisprudenza e atti di soft law) comunitaria e nazionale in materia di protezione dei dati personali, ma anche delle norme e procedure amministrative che caratterizzano lo specifico settore, giacché la liceità del trattamento dei dati personali, svolto in tale ambito, dipende anche dalla corretta applicazione delle regole previste, di volta in volta, dalla disciplina di settore: a tal uopo, viene suggerito che tali competenze possono essere dimostrate attraverso una documentata esperienza professionale, la partecipazione ad attività formative specialistiche (es. master; corsi di studio), nonché, infine, dalla sussistenza di una certificazione acquisita sulla base della norma tecnica italiana UNI 11697.

Sul tema dell’atto di designazione di un DPO (esterno), il Garante Privacy ha precisato che, all’interno del relativo contratto di servizi, devono risultare, seppure in via succinta, anche le motivazioni che hanno indotto il relativo ente pubblico ad individuare, nella persona selezionata, il proprio RPD, nel rispetto dell’art. 37, paragrafo 5), del GDPR, del principio di trasparenza e di buona amministrazione (connesso al citato principio di accountability).

Inoltre, l’Authority ha raccomandato agli enti pubblici, nel momento in cui decidono di affidare l’incarico di RPD ad un soggetto esterno alla propria struttura, di tenere in considerazione i seguenti elementi, onde così prevenire la possibilità di ricevere un’assistenza inadeguata: i) il numero di incarichi già ricoperti; ii) l’eventuale specializzazione, in ragione delle particolari tipologie di trattamenti effettuati dai soggetti per i quali il potenziale DPO svolge l’incarico in questione; iii) in caso di persone giuridiche, la disponibilità di risorse adeguate a sostegno della persona fisica internamente individuata.

Nel dettaglio, è stato chiarito, altresì, che il referente cd. interno, indicato dalla persona giuridica che assume formalmente l’incarico di DPO, non deve necessariamente essere un dipendente della stessa, ma deve, tuttavia, sussistere, in ogni caso, un rapporto giuridico che fornisca prova della sussistenza di un legame valido, efficace, stabile e legittimante tale attribuzione.

Con riguardo alla durata del rapporto professionale, il Garante Privacy ha individuato in n. 3 anni il periodo congruo affinché il RPD possa impostare le necessarie attività, al fine così di rendere conformi alla normativa i trattamenti effettuati dal Titolare che lo ha incaricato.

Sul tema della remunerazione (come noto, ad oggi al ribasso) del DPO, l’Authority ha osservato che le pubbliche amministrazioni sono tenute a contemperare, in maniera congrua e proporzionata, le esigenze di razionalizzazione della spesa con quelle di acquisizione delle competenze adeguate per lo svolgimento dei compiti connessi alla migliore realizzazione degli obiettivi posti dalla disciplina europea a tutela dei diritti e delle libertà fondamentali degli interessati.

Da ultimo, il Garante Privacy ha voluto illustrare una serie di misure (o meglio, di buone pratiche) volte a rendere effettivo il coinvolgimento del DPO, al fine così di permettergli di svolgere, in modo effettivo ed efficace, i compiti a questo assegnati: i) individuazione all’interno della pubblica amministrazione, di una figura, adeguata per posizione e competenze, che funga da punto di riferimento per il RPD, con il quale quest’ultima possa interloquire costantemente, al fine di ricevere gli elementi richiesti per lo svolgimento dei propri compiti, oltre che facilitare il dialogo con il vertice amministrativo; ii) condivisione di un’agenda, attraverso la quale fissare momenti di dialogo con una congrua periodicità; iii) la proposta, da parte del RPD al Titolare del trattamento, di attività da svolgere per migliorare la gestione dei trattamento sul piano della conformità alla disciplina di settore, da effettuarsi sia al momento dell’assunzione dell’incarico che periodicamente nel corso dell’esecuzione dello stesso; iv) rendicontazione delle attività svolte, sia in loco sia a distanza; v) svolgimento dell’attività di formazione e di aggiornamento ai soggetti autorizzati al trattamento, mediante la messa a disposizione di idonea documentazione.

Infine, l’Authority si è occupata dell’ormai annoso tema dell’incompatibilità (e conseguente conflitto di interessi) del DPO rispetto ad altri incarichi rivestiti all’interno dell’organizzazione dell’ente. A tal riguardo, il Garante Privacy ha evidenziato che tale tematica emerge, in via generale, laddove il soggetto individuato quale RPD rivesta, al contempo, incarichi quali quello di componente di un organismo collegiale (es. collegio disciplinare), sia titolare di un incarico monocratico dotato di poteri decisionali (es. direttore amministrativo), svolga un incarico che, per natura, comporta l’esercizio di poteri decisionali in ordine alle finalità e i mezzi del trattamento (es. referente in materia di trasparenza o di prevenzione della corruzione) ovvero rivesta la qualifica di responsabile IT o fornisca tali servizi alla relativa Pubblica Amministrazione.


Salvis Juribus – Rivista di informazione giuridica
Ideatore e Coordinatore Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti