DPO negli Enti Locali: l’indagine del Garante per la protezione dei dati

Il ruolo del Responsabile della protezione dei dati (DPO) è stato oggetto di particolare attenzione sia da parte dell’EDPB sia da parte del nostro Garante per la protezione dei dati.

Infatti, nel mese di marzo l’autorità italiana per la protezione dei dati ha avviato un’indagine nei riguardi degli Enti Locali volta alla verifica del rispetto dell’obbligo di comunicazione dei dati di contatto del DPO.

Il DPO nella normativa privacy

Prima di poter procedere è importante chiarire la figura del DPO, ponendo l’attenzione sui compiti e sulla responsabilità che derivano dal ruolo.
Il DPO (acronimo di Data Protection Officer) è una delle nuove figure introdotte dal Regolamento UE 2016/679. Si tratta di una figura che può essere considerata come un punto di incontro tra il Titolare del Trattamento e il Garante per la protezione dei dati personali.
L’art. 39 del GDPR elenca tutti i compiti che sono a carico del DPO:

• informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
• sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
• cooperare con l’autorità Garante nazionale;
• fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

L’importanza del DPO nella normativa privacy

L’indagine riguarda soprattutto gli Enti di grande dimensione che hanno l’obbligo di rispettare l’articolo 37, paragrafo 7, del Regolamento il quale specifica che i soggetti pubblici e privati debbano comunicare al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

La suddetta direttiva mira al garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (DPO) adottate dal Gruppo Articolo 29.

Inoltre, è importante specificare che in base all’articolo 39 del Regolamento il DPO ha come funzione quella di essere un punto di contatto fra il singolo ente o azienda e il Garante.

Per effettuare la variazione la procedura consentita è in modalità telematica al seguente indirizzo: https://servizi.gpdp.it/comunicazionerpd/s/ ed è l’unica procedura che può essere utilizzabile per l’invio, la variazione e la revoca dei dati di contatto del Responsabile della protezione dei dati, non potranno essere prese in considerazione le comunicazioni effettuate attraverso diversi canali di contatto con il Garante.

L’indagine del Garante Privacy: le sue soluzioni

L’indagine del Garante Privacy interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità e mira all’adozione di specifici interventi.

Il controllo parte quindi da questa tipologia di Enti e sarà poi esteso anche agli enti locali più piccoli e ad altri soggetti pubblici. Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori ma vediamo insieme quali potrebbero essere le soluzioni.

Per farlo prenderemo in considerazione il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico” attraverso il quale il Garante aveva già preso in considerazione la problematica del DPO.

Si pone quindi l’accento sull’importanza dell’aggiornamento anche in caso di modifica dei dati o di sostituzione del soggetto designato poiché la presenza di dati non esatti o non aggiornati presso l’Autorità potrebbe comportare l’inoltro di comunicazioni a soggetti che non sono DPO, mettendoli in questo modo a conoscenza di informazioni riservate connesse all’esercizio delle funzioni istituzionali.

Prendendo in considerazione il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico” risulta necessario che il DPO:

• presenti un profilo professionale e delle competenze ed esperienze idonee al ruolo e alla complessità dell’Ente, l’Autorità ha affermato che al fine di valutare le qualità professionali e specialistiche del soggetto a cui affidare l’incarico, l’ente deve tenere in considerazione: la complessità dei trattamenti, la quantità e qualità dei dati trattati, l’esistenza di trasferimenti di dati fuori dall’Unione europea, la conoscenza della normativa e delle prassi europee in materia di protezione dei dati personali, la conoscenza delle norme e delle procedure amministrative;
• sia in grado di svolgere la propria funzione con il giusto commitment. In particolare, il DPO deve essere messo nella condizione di dialogare con i vertici affinché le sue indicazioni possano tradursi in un intervento concreto laddove sia necessario;
• sia dotato di adeguate risorse economiche. Se interno, il DPO dovrebbe essere messo nella condizione di poter fare affidamento su risorse economiche adeguate allo svolgimento del proprio compito e, se necessario, disporre di una squadra. Rispetto alla possibilità di nominare un DPO esterno, il Garante ha già rilevato in passato che, in molti casi, i bandi di gara per l’affidamento dell’incarico di DPO prevedevano compensi molto bassi. Per questo motivo è stato evidenziato che un eccessivo ribasso può comportare un duplice effetto negativo:
• consentire l’aggiudicazione in favore di soggetti che non abbiano una formazione specifica e idonea;
• spingere i DPO ad accumulare un elevato numero di incarichi.

Qualora non risulti possibile affidare l’incarico ad un soggetto interno sarà possibile rivolgersi al mercato per affidare l’incarico ad un soggetto esterno. Seguendo questa opzione il Garante ha evidenziato che è necessario che sia individuata, in maniera inequivocabile, la persona fisica o giuridica che opererà come DPO e dovrà essere giustificata la scelta per consentire la verifica del rispetto dei requisiti di cui all’art. 37, paragrafo 5, del GDPR.

Bisogna evidenziare che potrebbero esserci delle limitazioni economiche che non permettono all’Ente di nominare il DPO in questo caso, vi è la possibilità per gruppi di enti locali di limitate dimensioni di nominare un unico DPO.

Secondo l’art. 37, paragrafo 3, del GDPR «qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione».

Risulta quindi possibile per gli enti pubblici con struttura organizzativa e dimensioni limitate, i quali hanno altresì limitate risorse economiche, di dotarsi di un unico DPO; in ogni caso, il DPO incaricato da più titolari deve necessariamente tenere conto della possibilità di prestare il necessario supporto a ognuno di essi.