In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. In questa prima parte esamineremo alcune delle caratteristiche di tale figura provando a comprenderne l’assoluta rilevanza, in particolar modo in ambito pubblico.
Il Responsabile della protezione dei dati può considerarsi come il “punto di contatto” per il Garante per la protezione dei dati personali?
Il Responsabile della protezione dei dati, in base all’articolo 39, paragrafo 1, lettere d) ed e) del RGPD deve considerarsi punto di contatto tra i Titolari del trattamento e il Garante per la protezione dei dati personali. Ciò perché tale figura deve fungere da intermediario in quanto facilita l’accesso, da parte dell’Autorità, ai documenti e alle informazioni necessarie “per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58”. Per fare in modo che il Responsabile della protezione dei dati sia posto nelle giuste condizioni di adempiere a tale ruolo in modo corretto e nei giusti tempi, egli deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali (così come sancito dall’articolo 38, paragrafo 1 del RGPD). Il supporto del Responsabile della protezione dei dati è, perciò, fondamentale in particolar modo per due figure:
- per il Titolare del trattamento/Responsabile al fine di individuare la documentazione e le informazioni corrette e pertinenti da fornire al Garante per la protezione dei dati personali;
- per il Garante per la protezione dei dati personali perché in tal modo vengono agevolati l’attività istruttoria e il tempestivo accertamento della conformità dei trattamenti indagati alla normativa in materia di protezione dei dati personali.
È proprio in base a quanto appena enunciato che, in sede di istruttoria preliminare, le richieste di informazioni saranno essenzialmente indirizzate al Responsabile della protezione dei dati, pur essendovi l’onere in capo al Titolare/Responsabile destinatario della comunicazione di fornire riscontro, nonché di rispondere dell’eventuale inadempimento.
Altresì, il Garante della protezione dei dati personali invita i Titolari del trattamento ad interpellare preliminarmente il proprio Responsabile della protezione dei dati in relazione a eventuali quesiti relativi a trattamenti posti sotto la loro gestione. Ciò consentirà, difatti, al Responsabile della protezione dei dati di poter esercitare i compiti affidatigli dal RGPD e all’amministrazione di trovare risposte al proprio interno, nella massima valorizzazione del principio di accountability di cui agli articoli 5, paragrafo 2[1] e 24[2] del regolamento stesso. Qualora l’ente ritenesse di doversi rivolgere al Garante della protezione dei dati personali, sarà opportuno che lo faccia solo per il tramite del proprio Responsabile della protezione dei dati e solo dopo averne, comunque, acquisito il relativo parere che dovrà essere allegato alla richiesta.
[1] Per completezza espositiva, si procede alla trascrizione per intero dell’articolo 5 del RGDP, il quale recita: “1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”.
[2] L’articolo 24 del RGPD, rubricato “Responsabilità del titolare del trattamento”, stabilisce che “1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento”.
Perché è importante che i dati del Responsabile della protezione dei dati siano comunicati al Garante e pubblicati sul sito istituzionale?
Non sempre è risultato che i Titolari del trattamento abbiano effettuato la pubblicazione e la comunicazione al Garante della protezione dei dati personali dei dati di contatto del Responsabile della protezione dei dati, vanificando così la necessaria trasparenza informativa nei confronti sia degli interessati (che in questo modo non sanno dell’esistenza di una figura cui rivolgere le proprie istanze in materia di trattamento dei propri dati personali) che del Garante della protezione dei dati personali stesso (facendo venire meno quel punto di contatto essenziale per lo svolgimento dei propri compiti istituzionali).
Inoltre, in alcuni casi l’ente ha ritenuto di poter assolvere all’obbligo di pubblicazione mediante l’affissione dei dati di contatto presso i propri uffici, senza la messa a disposizione su pagine facilmente individuabili all’interno del proprio sito istituzionale.
I Titolari del trattamento, nel momento in cui procedono alla nomina del Responsabile della protezione dei dati, devono provvedere a darne comunicazione, tempestivamente, sul sito del Garante della protezione dei dati personali per le ragioni di cui sopra. Tuttavia, spesso questo non accade. Difatti, oltre ai numerosi casi di mancato assolvimento, si sono registrate anche situazioni di comunicazioni effettuate mediante canali non idonei (non avvalendosi, cioè, dell’apposita procedura online messa a disposizione dal Garante: https://servizi.gpdp.it/comunicazionerpd/s/ ), oppure indicando riferimenti non corretti dell’ente Titolare del trattamento (ad esempio, indicando il legale rappresentante come Titolare del trattamento o fornendo, in luogo del codice fiscale dell’ente, la partita IVA oppure il codice fiscale del proprio legale rappresentante oppure del Responsabile della protezione dei dati), impedendone in questo modo la corretta individuazione.
In merito all’apposita procedura online di cui sopra, si precisa che la stessa può essere effettuata non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del Responsabile della protezione dei dati designato. All’interno del link precedentemente citato potrete notare le apposite istruzioni e le relative FAQ.
I dati di contatto del Responsabile della protezione dei dati devono essere ovviamente forniti in modo esatto e aggiornati (anche in caso di modifica dei dati o di sostituzione del soggetto designato). Ciò perché la presenza di dati non esatti o non aggiornati presso l’Autorità potrebbe comportare l’inoltro di comunicazioni a soggetti che non sono (o non sono più) Responsabili della protezione dei dati.
Pertanto, ogni soggetto (pubblico o privato) che nomina un Responsabile della protezione dei dati dovrà effettuare entrambi gli adempimenti previsti dall’articolo 37, paragrafo 7 del RGDP (vale a dire pubblicazione e comunicazione al Garante della protezione dei dati personali dei dati di contatto).
Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che all’interno della sezione dedicata all’organigramma dell’ente ed ai relativi contatti. Tra i dati oggetto di pubblicazione dovrà figurare l’indirizzo di posta elettronica (sicuramente ordinaria, eventualmente integrata con un indirizzo PEC) del Responsabile della protezione dei dati, mentre non è necessario che sia inserito il nominativo dello stesso (essendo tale informazione non indispensabile ai fini di contatto da parte di chiunque sia interessato).
In merito all’indirizzo di posta elettronica, il Garante della protezione dei dati personali invita le amministrazioni a rendere disponibile una casella “istituzionale” ad hoc attribuita specificamente al solo Responsabile della protezione dei dati. In questo modo si evita l’utilizzo di caselle che siano espressione del Titolare del trattamento (ad esempio perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”). Al fine di rispettare il principio di indipendenza dell’esercizio delle sue funzioni (come richiesto dal considerando 97 del RGPD), sarebbe opportuno che il Responsabile della protezione dei dati venisse contattato attraverso canali che riconducano direttamente a lui, senza l’intermediazione di uffici facenti capo al Titolare del trattamento.
Quando e perché l’ente deve procedere alla variazione dei dati di contatto del Responsabile della protezione dei dati?
L’ente deve procedere alla variazione dei dati di contatto del Responsabile della protezione dei dati tempestivamente, di modo che il Garante della protezione dei dati personali sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto. Difatti, il mantenimento di dati di contatto non più attuali potrebbe comportare il coinvolgimento di un soggetto cessato dalle proprie funzioni di Responsabile della protezione dei dati, con conseguente comunicazione a terzi di informazioni che non ha più alcun titolo di conoscere (ad esempio può presentarsi la necessità da parte di un soggetto interessato di rivolgersi al Responsabile della protezione dei dati ex articolo 38, paragrafo 4 del RGDP[3], ovvero l’esigenza del Garante della protezione dei dati personali che intende coinvolgere lo stesso nell’ambito di un procedimento ai sensi dell’articolo 39, paragrafo 1, lettere d) ed e) del RGDP)[4]. A tal proposito, occorre considerare che il mancato aggiornamento dei dati di contatto del Responsabile della protezione dei dati, tanto sul sito istituzionale dell’ente quanto nella relativa comunicazione al Garante della protezione dei dati personali, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione.
[3] “Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento”.
[4] “Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: […] d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione”.
di Alessandra Totaro