In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. Nel presente articolo si fornirà maggior chiarezza in merito alle caratteristiche di tale figura, in particolar modo nell’ambito pubblico.

Quali sono i soggetti tenuti alla designazione del RPD?

L’articolo 37, paragrafo 1, lettera a), del RGPD prevede che i titolari e i responsabili del trattamento designino un Responsabile della protezione dei dati «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, per questo motivo, ne rimette l’individuazione al diritto nazionale applicabile.

Ad ogni modo, per quanto concerne l’ambito pubblico, sono obbligatoriamente tenuti alla designazione di un Responsabile della protezione dei dati i soggetti che ricadevano nell’ambito di applicazione degli artt. 18-22 del Codice privacy (oggi abrogati), che stabilivano le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le università; le Camere di commercio, industria, artigianato e agricoltura; le Aziende del Servizio sanitario nazionale; le Autorità Indipendenti).

Occorre comunque considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare fortemente raccomandato, sebbene non obbligatorio, procedere alla designazione di un Responsabile della protezione dei dati. In ogni caso, qualora si proceda alla designazione su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i Responsabili della protezione dei dati designati in via obbligatoria.

A tal proposito, si ricorda come anche in caso di assenza del requisito soggettivo previsto dall’articolo 37, paragrafo 1, lettera a) del RGPD, il titolare o il responsabile del trattamento sono comunque tenuti alla designazione del Responsabile della protezione dei dati, ai sensi di quanto previsto dall’art. 37, par. 1, lett. b) e c), nel caso in cui le attività principali consistano:

– in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;

– nel trattamento su larga scala di categorie di dati personali di cui all’articolo 9 del RGPD o dei dati relativi alle condanne penali e a reati di cui all’art. 10 del medesimo RGPD.

Per quanto concerne lo specifico ambito sanitario, posto che le Aziende sanitarie appartenenti al Servizio sanitario nazionale sono obbligate alla designazione del Responsabile della protezione dei dati in quanto si tratta di organismi pubblici, anche ospedali privati, case di cura o Residenza sanitaria assistenziale (RSA) si devono ritenere, in via generale, sottoposti all’obbligo di designazione, trattando dati sulla salute su larga scala (così come intuibile dall’articolo 37, paragrafo 1, lettera c) del RGPD). Quanto poi al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si precisa che lo stesso non sia tenuto alla designazione del Responsabile della protezione dei dati sulla base di quanto indicato dal considerando 91 del RGPD[1].

Infine, per quanto concerne il numero di Responsabili della protezione dei dati di cui un’amministrazione può avvalersi, si precisa che l’unicità della figura del Responsabile della protezione dei dati sia condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno. Ciò significa che, presso amministrazioni particolarmente complesse (come, ad esempio, i Ministeri) è necessario che venga individuato un solo Responsabile della protezione dei dati.

[1] Il considerando 91 del RGPD recita quanto segue: “Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti. È opportuno altresì effettuare una valutazione d’impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza. Una valutazione d’impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici, o per altri trattamenti che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala. Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”.

La designazione di un Responsabile della protezione dei dati interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

Il RGPD prevede, all’art. 38, par. 2, che «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».

Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al Responsabile della protezione dei dati. Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del Responsabile della protezione dei dati. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».

All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di Responsabile della protezione dei dati (mediante l’atto di designazione di cui sopra).

Nel caso in cui il Responsabile della protezione dei dati sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Purtroppo, il RGPD non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al Responsabile della protezione dei dati – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, il terzo paragrafo dell’articolo 38 del RGPD fissa alcune garanzie essenziali per consentire ai Responsabili della protezione dei dati di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il Responsabile della protezione dei dati «non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti». Il considerando 97 aggiunge che i Responsabili della protezione dei dati «dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente». Ciò significa che «il Responsabile della protezione dei dati, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Inoltre, sempre ai sensi dell’articolo 38, paragrafo 3 del RGPD, il Responsabile della protezione dei dati «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal Responsabile della protezione dei dati nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un Responsabile della protezione dei dati interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità,  che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Quali certificazioni sono idonee a legittimare il Responsabile della protezione dei dati nell’esercizio delle sue funzioni?

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’articolo 42 del RGPD [2]) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono a una “abilitazione” allo svolgimento del ruolo del Responsabile della protezione dei dati né sono idonee a sostituire il giudizio rimesso alle pubbliche amministrazioni nella valutazione dei requisiti necessari al Responsabile della protezione dei dati per svolgere i compiti previsti dall’articolo 39 del RGPD.

[2] L’articolo 42 del GDPR afferma che “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. Oltre all’adesione dei titolari del trattamento o dei responsabili del trattamento soggetti al presente regolamento, i meccanismi, i sigilli o i marchi approvati ai sensi del paragrafo 5 del presente articolo, possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento ai sensi dell’articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera f). Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati. La certificazione è volontaria e accessibile tramite una procedura trasparente. La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56. La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’articolo 58, paragrafo 3, o dal comitato, ai sensi dell’articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati. Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione. La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti. La certificazione è revocata, se del caso, dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente, a seconda dei casi, qualora non siano o non siano più soddisfatti i requisiti per la certificazione. Il comitato raccoglie in un registro tutti i meccanismi di certificazione e i sigilli e i marchi di protezione dei dati e li rende pubblici con qualsiasi mezzo appropriato”.

Responsabile della protezione dei dati: sono richiesti titoli specifici per l’espletamento di tale funzione?

Il Garante per la protezione dei dati personali ha riscontrato in diverse occasioni il fatto che, in ambito pubblico, il Titolare del trattamento, al fine di selezionare una figura dotata di competenze necessarie, richiedesse al candidato titoli specifici (perlopiù la laurea in giurisprudenza), l’iscrizione ad un determinato albo professionale (spesso quello di avvocato) o particolari tipologie di certificazione (come le cc.dd. certificazioni volontarie). Tali requisiti non sono richiesti dal RGPD e, ad ogni modo, il loro possesso non equivale ad una abilitazione allo svolgimento del ruolo del Responsabile della protezione dei dati. Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio (tenuto altresì conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di Responsabile della protezione dei dati).

Quali misure dovrà adottare quindi l’ente? In prima battuta, il Titolare del trattamento dovrà valutare le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale Responsabile della protezione dei dati. L’ente, difatti, deve tenere conto della complessità dei trattamenti che effettua, della qualità e quantità di dati personali trattati, dell’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione Europea.

Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, questa può essere dimostrata attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio master, corsi di studio e professionali). Indubbiamente la competenza a ricoprire il ruolo di Responsabile della protezione dei dati non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad albo professionale, certificazione). Il Titolare del trattamento deve, difatti, valutare gli elementi previsti dall’articolo 37, paragrafo 5 del RGPD e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi del principio di accountability di cui agli articoli 5, paragrafo 2 e 24 del RGPD.

di Alessandra Totaro