In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. Nel presente articolo si fornirà maggior chiarezza in merito alle caratteristiche di tale figura, in particolar modo nell’ambito pubblico.

Quali atti occorre adottare in caso di designazione del Responsabile della protezione dei dati?

Durante alcune istruttorie condotte dal Garante per la protezione dei dati personali è emerso che, con riferimento alla scelta di un Responsabile della protezione dei dati esterno, gli atti adottati al fine di rendere operativa tale figura non risultano sempre pienamente allineati tra loro, per cui le indicazioni in ciascuno contenute risultano non univoche. In particolar modo, in queste situazioni l’Autorità ha riscontrato quanto segue:

  • l’offerta per il servizio viene effettuata da società che indica la persona fisica da individuare come Responsabile della protezione dei dati;
  • questa offerta, in caso di affidamento alla suddetta società, diviene contratto di servizio per effetto dell’accettazione operata con apposita determinazione dirigenziale dell’ente;
  • l’atto di designazione (che nei Comuni, generalmente assume la forma di decreto sindacale) avviene nei confronti della persona fisica indicata, ma con l’utilizzo di forme ambigue circa il ruolo assunto dalla società che aveva partecipato alla gara.

A quanto sopra esposto, si aggiunge il fatto che il rapporto tra l’amministrazione e la società viene talvolta formalizzato mediante accordo ai sensi dell’articolo 28 del RGPD per lo svolgimento di taluni compiti, tra cui il supporto tecnico e organizzativo del Responsabile della protezione dei dati medesimo o attività di assistenza diretta nei confronti del Titolare del trattamento, sempre nel settore della protezione dei dati personali (come, ad esempio, in riferimento alla valutazione di impatto sulla protezione dei dati) o specifici compiti quali, ad esempio, la fornitura di piattaforme tecnologiche o specifiche funzionalità (registro delle attività di trattamento, erogazione di eventi formativi, predisposizione di informative, etc.).

Nel caso in cui la scelta del Responsabile della protezione dei dati ricada su una professionalità interna all’ente, occorrerà formalizzare un apposito atto di designazione a “Responsabile della protezione dei dati”; nel caso, invece, si ricorra a soggetti esterni all’ente, la designazione potrà costituire parte integrante dell’apposito contratto di servizi (ad esempio come suo allegato). Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuata la persona fisica o giuridica che opererà come Responsabile della protezione dei dati, provvedendo ad espressa indicazione di:

  • generalità (o dati societari, in caso di persona giuridica);
  • compiti e funzioni che questi sarà chiamato a svolgere in ausilio al Titolare/Responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento;
  • motivazioni che hanno indotto l’ente a individuare il proprio Responsabile della protezione dei dati, al fine di consentire la verifica del rispetto dei requisiti previsti dall’articolo 37, paragrafo 5 del RGPD. A tal proposito, la specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta della sopra citata figura, oltre a costituire indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.

Qualora nel tempo venissero assegnati compiti aggiuntivi rispetto a quelli previsti nell’atto di designazione, lo stesso dovrà essere modificato.

Specificando ulteriormente:

  1. il soggetto individuato in qualità di Responsabile della protezione dei dati, che si tratti di persona fisica o giuridica, deve essere indicato in tutti gli atti che contribuiscono a perfezionare il processo di designazione. Ciò vale per:
  • la domanda di partecipazione ad una procedura selettiva;
  • il contratto di servizio (nel caso di affidamento ad un soggetto esterno);
  • l’atto di designazione (con il quale viene individuato e investito il soggetto del ruolo e dei compiti del Responsabile della protezione dei dati);
  • le informazioni contenenti i relativi dati di contatto da pubblicare sul sito istituzionale e da comunicare al Garante per la protezione dei dati personali;
  1. se il soggetto individuato come Responsabile della protezione dei dati è una persona giuridica, questa dovrà indicare il referente persona fisica. Al riguardo, è opportuno che detta persona fisica sia indicata in ciascuno degli atti sopra menzionati e che ogni variazione che dovesse riguardare quest’ultima sia riportata negli stessi e comunicata al Garante per la protezione dei dati personali;
  2. l’individuazione di eventuali figure, sia interne che esterne all’ente, di supporto al Responsabile della protezione dei dati, deve avvenire in maniera chiara e trasparente da parte dell’amministrazione (eventualmente anche all’interno dell’atto di designazione del Responsabile della protezione dei dati stesso). Tali figure di supporto, per quanto concerne lo svolgimento dei compiti propri del Responsabile della protezione dei dati, possono ricevere istruzioni solo da quest’ultimo e non anche dal Titolare del trattamento, né tantomeno possono essere legate a quest’ultimo da un rapporto instaurato ai sensi dell’articolo 28 del RGPD;
  3. ulteriori figure che forniscono servizi al Titolare del trattamento in qualità di responsabili del trattamento con i quali è instaurato un rapporto ai sensi dell’articolo 28 del RGPD non devono svolgere i compiti di Responsabile della protezione dei dati o di supporto allo stesso, stante l’autonomia dell’azione di quest’ultimo (considerato che gli stessi rapporti instaurati con i responsabili del trattamento sono sottoposti alla vigilanza del Responsabile della protezione dei dati ai sensi dell’articolo 39, paragrafo 1, lettera b) del RGPD.

Una società può svolgere, oltre al Responsabile della protezione dei dati, altri tipi di incarico per il medesimo Titolare del trattamento?

Dagli accertamenti ispettivi è emerso che alcune società svolgono incarichi di Responsabile della protezione dei dati per conto di numerosi soggetti pubblici, spesso anche dislocati sul territorio nazionale. Oltre all’incarico di Responsabile della protezione dei dati, spesso tali società svolgono anche altri incarichi che, pur non essendo incompatibili con il ruolo di Responsabile della protezione dei dati (ad esempio quello di referente nell’ambito della sicurezza del lavoro) potrebbero comunque rendere difficile lo svolgimento di tutti i compiti affidati, soprattutto quando queste società operano con risorse non adeguate, incidendo anche sulla credibilità della qualità del lavoro svolto come Responsabile della protezione dei dati. In alcuni casi, i referenti persone fisiche non sono nemmeno deputati allo svolgimento esclusivo di funzioni di supporto al Responsabile della protezione dei dati, ma svolgono anche altri incarichi (compiti di amministrazione, formazione alla sicurezza sul lavoro, etc.). La numerosità dei clienti per i quali tali società svolgono il ruolo di Responsabile della protezione dei dati, considerato l’esiguo numero di risorse umane, materiali e temporali impiegate in rapporto alla complessità e alla numerosità dei compiti affidati, fa sorgere dubbi sul fatto che le modalità di svolgimento di tale ruolo possano ritenersi adeguate a fornire un efficace supporto a ciascun Titolare del trattamento per lo svolgimento dei compiti previsti dall’articolo 39 del RGPD.

Pertanto, posta la libertà di ogni soggetto di organizzare la propria attività di impresa, rimane il fatto che gli enti pubblici, nel momento in cui decidono di esternalizzare l’incarico di Responsabile della protezione dei dati al fine di prevenire la possibilità di ricevere un’assistenza inadeguata, dovrebbero poter tenere in considerazione, ad esempio, i seguenti elementi:

  1. il numero di incarichi già ricoperti dalla società o dal professionista al quale si intende affidare l’incarico;
  2. l’eventuale specializzazione in ragione delle particolari tipologie di trattamenti effettuati dai soggetti per i quali tale soggetto svolge il ruolo di Responsabile della protezione dei dati (ad esempio il fatto che si tratti prevalentemente di Comuni, o di Istituti scolastici, o di Aziende sanitarie, o di società commerciali, etc.);
  3. in caso di società, la disponibilità di adeguate risorse a sostegno del referente persona fisica, compresa la possibilità di ricorrere, se del caso, a collaboratori in possesso di particolari competenze.

Si precisa che tali considerazioni non hanno valore assoluto ma costituiscono elementi di valutazione da tenere in attenta considerazione in fase di selezione. Inoltre, ogni amministrazione dovrebbe valutare l’opportunità di individuare al proprio interno una figura di riferimento per il Responsabile della protezione dei dati esterno, con il quale quest’ultimo possa interloquire con costanza, al fine di consentirgli una più rapida e completa acquisizione di tutti gli elementi di contesto necessari per lo svolgimento dei suoi compiti e per facilitargli l’interazione con le strutture interne dell’ente.

Nel caso in cui un organismo associativo selezioni un solo Responsabile della protezione dei dati, chi dovrà procedere alla comunicazione sul sito del Garante per la protezione dei dati personali?

Una delle molteplici questioni analizzate dal Garante per la protezione dei dati personali riguarda i casi in cui più Titolari del trattamento associati tra loro, in ragione di dimensione e risorse limitate, non effettuino la comunicazione dei dati di contatto del RPD sul portale del Garante stesso (espletata unicamente dal soggetto associato, e non da ciascun singolo Titolare del trattamento). Tale omissione si è verificata frequentemente nel caso di Unioni di Comuni ove la sopra citata comunicazione veniva resa dalla sola Unione, anziché da parte di ciascun singolo comune che la compone.

Come già ribadito più volte nel corso dell’articolo, la comunicazione dei dati di contatto del Responsabile della protezione dei dati al Garante per la protezione dei dati personali (come anche la loro pubblicazione) sono attività necessarie al fine di garantire all’Autorità e agli interessati la possibilità di contattare il Responsabile della protezione dei dati in modo facile e diretto. È proprio per queste ragioni che, pur essendo prevista la possibilità in capo a una pluralità di enti pubblici di selezionare un unico Responsabile della protezione dei dati, ciascun Titolare del trattamento deve procedere alla comunicazione, nonché alla pubblicazione dei dati sul proprio sito istituzionale. Peraltro, il soggetto pubblico che associa tali enti (nell’esempio di cui sopra, l’Unione di Comuni) è un soggetto autonomo che, a sua volta, può essere Titolare di trattamenti e deve avere un proprio Responsabile della protezione dei dati (eventualmente anche distinto da quello dei Comuni che ne fanno parte).

di Alessandra Totaro