Gdpr: il responsabile della protezione privacy nel pubblico
di Valeria Zeppilli – Il nuovo regolamento europeo sulla privacy in vigore dal 25 maggio 2018 ha rivoluzionato il sistema nazionale di protezione dei dati personali con diverse novità. Tra di esse, a spiccare è in particolare la previsione di una nuova figura centrale: il DPO (o RPD), ovverosia il responsabile della protezione dati, che alcuni specifici soggetti sono tenuti a designare, pena l'assoggettamento a pesanti sanzioni.
Leggi anche:
- Privacy: multe fino a 10 milioni di euro per chi non nomina il Dpo
A tale proposito, il Garante della privacy ha emanato, in due diverse occasioni, delle f.a.q. utili per comprendere chi è effettivamente obbligato a nominare il DPO e secondo quali regole, distinguendo tra settore privato e settore pubblico.
Per un'analisi del responsabile della protezione dati in ambito privato rimandiamo alla specifica guida "Privacy: il responsabile della protezione dei dati nel privato". In questa sede, invece, concentramoci sul DPO nel pubblico.
Chi è tenuto a designare il DPO
A tale proposito, il nuovo regolamento europeo sulla privacy si limita a stabilire che il responsabile della protezione dati va nominato "quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali", senza specificare cosa si intenda per autorità pubblica o organismo pubblico, ma rimettendone l'individuazione al diritto nazionale applicabile nel caso di specie.
Il Garante italiano della privacy, pertanto, ha ritenuto opportuno precisare che sono obbligati a designare il DPO tutti i soggetti che ricadono nel campo di applicazione delle norme del codice nazionale della privacy che regolamentano i trattamenti effettuati dai soggetti pubblici (artt. 18-22), ovverosia, a titolo meramente esemplificativo e non esaustivo:
- le amministrazioni dello Stato;
- gli enti pubblici non economici nazionali, regionali e locali;
- le Regioni e gli enti locali;
- le università;
- le Camere di commercio, industria, artigianato e agricoltura;
- le aziende del SSN;
- le autorità indipendenti.
È inoltre fortemente raccomandata la designazione del responsabile della protezione dati anche da parte dei soggetti privati che esercitano funzioni pubbliche, come i concessionari di pubblici servizi.
Chi può essere nominato DPO
Il DPO può essere nominato sia scegliendo tra consulenti esterni, sia individuandolo tra i dipendenti dell'autorità o dell'organismo pubblico.
A tale ultimo proposito, il Garante ha chiarito che è preliminarmente necessario verificare che il dipendente non svolga mansioni incompatibili con il complesso dei compiti assegnati al responsabile della protezione dei dati.
Inoltre, per il Garante, se si decide di optare per un DPO interno è preferibile orientare la scelta su un dirigente o su un funzionario di alta professionalità e ciò, principalmente, per due ordini di ragioni: poiché a tale figura deve essere garantito di poter operare con un grado di sufficiente autonomia e in maniera indipendente senza ricevere istruzioni sull'approccio da seguire o sull'interpretazione da dare a una specifica questione e poiché la stessa deve avere un rapporto diretto con il vertice gerarchico del titolare o del responsabile del trattamento.
Infine va detto che, dopo aver analizzato la complessità dei trattamenti e dell'organizzazione, in caso di nomina di un DPO interno l'ente potrà anche valutare l'opportunità di istituire un apposito ufficio che lo sostenga e al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
Nessuna abilitazione
In ogni caso, il DPO (interno o esterno che sia), per poter svolgere i suoi compiti non deve essere in possesso di uno specifico attestato né di un'apposita abilitazione, ma deve solo possedere il necessario grado di professionalità.
Di conseguenza, le eventuali certificazioni delle competenze rilasciate da appositi enti certificatori all'esito della partecipazione ad attività formative e al controllo dell'apprendimento rappresentano solo uno strumento di verifica di un adeguato livello di conoscenza della disciplina della privacy, ma non sono indispensabili per la nomina.
La designazione del DPO
La nomina del responsabile della protezione dati deve avvenire con un atto formale, rappresentato da un atto di designazione, se la scelta ricade su un soggetto interno all'ente pubblico, o da un contratto di servizi, se la scelta ricade su un soggetto esterno.
In ogni caso, il soggetto che opererà come DPO va individuato in maniera inequivocabile, con indicazione espressa delle generalità e dei compiti e delle funzioni che è chiamato a svolgere (tanto che eventuali compiti aggiuntivi rispetto a quelli previsti originariamente non possono essere assegnati se non previa modifica o integrazione dell'atto di designazione o delle clausole contrattuali).
Nell'atto di designazione o nel contratto di servizio vanno poi indicate, sebbene in maniera succinta, le motivazioni alla base della scelta di quel determinato DPO, nel rispetto dei principi di trasparenza, buona amministrazione e responsabilizzazione.
Il titolare o il responsabile del trattamento devono poi indicare i dati di contatto del DPO nell'informativa fornita agli interessati, senza necessariamente indicare anche il suo nominativo (salvo il caso di violazione dei dati personali). Al Garante, invece, vanno indicati sia i dati di contatto che il nominativo.
I riferimenti del DPO, per ragioni di opportunità, andrebbero inseriti non solo nella sezione privacy eventualmente già presente nel sito web dell'ente, ma anche nella sezione "amministrazione trasparente".
Ulteriori compiti e funzioni del DPO
Come accennato, il nuovo regolamento europeo sulla privacy consente di assegnare al DPO compiti ulteriori rispetto a quelli in esso previsti.
A tale proposito va detto che, nel pubblico, tali compiti, innanzitutto non devono dare adito a conflitto di interessi, conflitto che potrebbe insorgere, ad esempio, rispetto a ruoli manageriali di vertice o figure apicali dell'amministrazione (come il responsabile dei Sistemi informativi o il responsabile dell'Ufficio di statistica). Il rischio di conflitto di interessi è poi particolarmente alto in caso di unico DPO tra più autorità pubbliche e organismi pubblici o in caso di DPO esterno, tanto che in queste ipotesi è richiesto che nell'atto di designazione o nel contratto di servizio vengano fornite apposite garanzie.
Gli eventuali ulteriori compiti e funzioni non devono poi sottrarre al responsabile della protezione dei dati tempo utile e necessario per adempiere alle proprie responsabilità con la conseguenza che, per il Garante, negli enti pubblici di grandi dimensioni è bene evitare di assegnare al DPO responsabilità aggiuntive rispetto a quelle che lo caratterizzano.
DPO unico
Con riferimento, infine, all'opportunità di designare più responsabili della protezione dati, il Garante ha precisato che "l'unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità".
Casomai, si possono individuare più figure di supporto, anche dislocate presso diverse articolazioni organizzative, che facciano però sempre capo a un unico soggetto responsabile.
Scarica l'atto di designazione del responsabile della protezione dei dati
Scarica il modello di comunicazione al Garante del Rpd
Leggi anche:
- Gdpr: il responsabile della protezione privacy nel privato
- GDPR: tutto quello che c'è da sapere
Data: 28/03/2018 10:30:00Autore: Valeria Zeppilli