Il Garante per la privacy, con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, fornisce chiarimenti sul ruolo effettivo del Responsabile della protezione dati nella Pa. A distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa rilevante figura, obbligatoria per il settore pubblico, essenziale per garantire un corretto approccio al trattamento dei dati. Il RPD come “punto di contatto” per l’Autorità Qualità professionali e possesso di titoli – lo svolgimento di attività di formazione e aggiornamento rivolte alle persone autorizzate al trattamento dei dati dall’ente, da effettuarsi anche mediante la messa a disposizione di idonea documentazione. Incompatibilità con altri incarichi e conflitto di interessi
Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”. Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.
L’art. 39, par. 1, lett. d) ed e), del Regolamento UE n. 2016/679 prevede che il RPD, tra i suoi compiti, cooperi con l’Autorità e funga da punto di contatto per questioni connesse ai trattamenti. In questo modo il RPD svolge un ruolo di “facilitatore”, in quanto facilita l’accesso, da parte dell’Autorità, ai documenti e alle informazioni necessarie “per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58”. Tale delicato compito carica ancor di più di significato l’obbligo per il titolare/responsabile del trattamento, stabilito dall’art. 38, par. 1, del Regolamento, di assicurarsi che il RPD sia “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Secondo l’art. 37, par. 5: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
In alcuni casi, è stato riscontrato che, in ambito pubblico, il titolare del trattamento, per selezionare una figura dotata delle competenze necessarie, ha richiesto che il candidato fosse in possesso di titoli specifici, come ad esempio uno specifico titolo di studio, l’iscrizione ad un determinato albo professionale o particolari tipologie di certificazione.
I requisiti in tal modo richiesti non sono stabiliti dal Regolamento o da altre disposizioni normative, e il loro eventuale possesso non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti. Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio.
Preliminarmente, si rende necessario – sottolinea il Garante – che l’ente pubblico valuti le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua, prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati, nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Svolgimento dei compiti da parte del RPD
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento; d) cooperare con l’autorità di controllo; e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
In alcuni dei casi in cui il RPD è una persona giuridica che fornisce tale servizio ad una pluralità di enti pubblici, è emerso che le interlocuzioni con i titolari non fossero sufficientemente frequenti. n particolari situazioni, sono stati altresì lamentati, da parte di alcuni enti pubblici, veri e propri inadempimenti da parte del RPD designato, il quale non avrebbe svolto, in maniera adeguata, i compiti previsti dall’art. 39 del Regolamento, o quelli pattuiti all’atto del conferimento dell’incarico e il conseguente supporto nello svolgimento degli adempimenti previsti dalla disciplina in materia di protezione dei dati personali. Anche nel caso di RPD interni si sono registrate situazioni di scarso coinvolgimento, da parte del titolare, soprattutto in occasione delle interlocuzioni avviate con l’Autorità nel corso di specifici procedimenti.
Tuttavia, la prassi di instaurare contatti, solo saltuari, tra il soggetto pubblico e il proprio RPD (sia interno che esterno) vanifica il senso della presenza del RPD e, con esso, l’approccio di privacy by design e by default promosso dal Regolamento, con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari (ad esempio, ai sensi degli art. 82 e 83 del Regolamento).
Nel corso delle indagini sul campo svolte dall’Autorità, sono, in ogni caso, emerse delle buone pratiche che è utile adottare, al fine di rendere effettivo il coinvolgimento del RPD e appropriato lo svolgimento dei compiti da parte di quest’ultimo:
– l’individuazione, all’interno dell’amministrazione, di una figura, adeguata per posizione e competenze, che funga da punto di riferimento per il RPD, con il quale quest’ultimo possa interloquire costantemente, al fine di ricevere gli elementi richiesti per lo svolgimento dei propri compiti, oltre che facilitare il dialogo con il vertice amministrativo;
– la condivisione di un’agenda attraverso la quale fissare momenti di dialogo con una congrua periodicità;
– la proposta, da parte del RPD al titolare, di attività da svolgere per migliorare la gestione dei trattamenti sul piano della conformità alla disciplina di settore, da effettuarsi sia al momento dell’assunzione dell’incarico che, periodicamente, in corso di esecuzione dello stesso;
– la rendicontazione dell’attività svolta, sia quella in loco (mediante, ad esempio, la stesura di verbali degli incontri), sia quella a distanza;
L’art. 38, par. 3 stabilisce che: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Inoltre, l’art. 38, par. 6 dispone che il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento debba assicurarsi che tali compiti e funzioni non diano adito a un conflitto di interessi.
L’Autorità ha riscontrato numerose situazioni in cui viene nominato, quale RPD, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività di RPD con la necessaria indipendenza. Ciò si può verificare allorché la figura individuata quale RPD rivesta, all’interno dell’organizzazione dell’ente, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali (ad esempio, perché le sono attribuiti potestà decisionali all’esito di trattamenti di dati personali di particolare delicatezza). Parimenti, le medesime problematiche si riscontrano, con riferimento al RPD di provenienza esterna, qualora quest’ultimo sia assoggettato alle istruzioni impartite dal titolare del trattamento (ad esempio, perché perché lo rappresenti in giudizio su problematiche in materia di protezione dei dati personali).
In proposito, le Linee guida del WP29 raccomandano buone pratiche, quali quelle di individuare preventivamente le qualifiche e funzioni che sarebbero incompatibili con quella di RPD e redigere regole interne onde evitare conflitti di interessi. L’indagine va fatta “caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento”: ciò significa che solo l’esame concreto di ciascuna singola realtà – considerando elementi quali le dimensioni dell’ente, le risorse a disposizione, la complessità della struttura, le tipologie di trattamenti svolti, qualità e quantità dei dati trattati, etc. – potrà condurre ad una valutazione definitiva sulla sussistenza o meno di cause di incompatibilità. Tale valutazione, in ogni caso, dovrà essere fornita dal titolare del trattamento, anche sulla base di idonea documentazione, in virtù del principio di accountability di cui agli artt. 5, par. 2, e 24 del Regolamento.