In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. Nel presente articolo si fornirà maggior chiarezza in merito alle caratteristiche di tale figura, in particolar modo nell’ambito pubblico.

Con quale atto formale deve essere designato il Responsabile della protezione dei dati?

L’articolo 37, paragrafo 1 del RGPD prevede che il titolare e il responsabile del trattamento designino il Responsabile della protezione dei dati; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.

Nel caso in cui la scelta del Responsabile della protezione dei dati ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’articolo 37 del RGPD.  Al fine di agevolare gli enti, il Garante per la protezione dei dati personali ha fornito uno schema di atto di designazione all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273 .

Ad ogni modo, indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come Responsabile della protezione dei dati, riportandone espressamente le generalità[1], i compiti (eventualmente anche ulteriori a quelli previsti dall’articolo 39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

[1] Secondo quanto precisato nelle Linee guida, se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il Responsabile della protezione dei dati potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente. In particolare, «per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team RPD, si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team Responsabile della protezione dei dati e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi».

L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio Responsabile della protezione dei dati, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del Responsabile della protezione dei dati pubblicando gli stessi anche sui siti web e a comunicarli al Garante per la protezione dei dati personali (sulla base di quanto disposto dal paragrafo 7 dell’articolo 37 del RGPD). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del Responsabile della protezione dei dati nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.

Tenendo conto di quanto stabilito dall’articolo sopra enunciato, non è necessario – anche se potrebbe costituire una buona prassi in ambito pubblico – pubblicare anche il nominativo del Responsabile della protezione dei dati, mentre occorre che sia comunicato al Garante per la protezione dei dati personali per agevolare i contatti con l’Autorità. Resta, invece, fermo l’obbligo di comunicare (ex articolo 33, paragrafo 3, lettera b)) il nominativo agli interessati in caso di violazione dei dati personali.

È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un Responsabile della protezione dei dati?

Alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più Responsabili della protezione dei dati.

Al riguardo, si rileva che l’unicità della figura del Responsabile della protezione dei dati è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno. Diversamente è previsto in merito all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un Responsabile della protezione dei dati interno, sia che questa ricada su un Responsabile della protezione dei dati esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del Responsabile della protezione dei dati che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni dello stesso.

Più soggetti pubblici possono avvalersi di un unico Responsabile della protezione dei dati?

In ambito pubblico, considerando il fatto che il Titolare del trattamento può presentare una struttura organizzativa e una dimensione limitate (si pensi ai tanti Comuni con una popolazione numericamente ridotta, oppure agli Istituti scolastici) si riscontra un ampio ricorso alla semplificazione introdotta dall’articolo 37, paragrafo 3 del RGPD, che consente a questi soggetti di individuare, per il ruolo di Responsabile della protezione dei dati, una figura in “comune”, abbattendo in questo modo i costi e semplificando le procedure di selezione.

Lo svolgimento della funzione di Responsabile della protezione dei dati per conto di più Titolari deve tener conto della possibilità di consentire, alla figura incaricata, di prestare il necessario supporto a tutti i Titolari (anche in termini di tempo e disponibilità da dedicare loro) e di assolvere in maniera adeguata i compiti assegnatigli dall’articolo 39 del RGPD. Tale circostanza deve essere oggetto di attenta valutazione nei seguenti casi:

  1. quando i trattamenti effettuati dai Titolari hanno ad oggetto dati personali di particolare delicatezza, magari anche su larga scala (si pensi alle Aziende sanitarie che trattano dati relativi alla salute e riferiti ad un numero significativo di assistiti, in un contesto tecnologico in continuo cambiamento);
  2. quando i Titolari si avvalgono del medesimo Responsabile della protezione dei dati operano in contesti molto differenti tra loro (ad esempio, Comuni e Istituti scolastici oppure anche soggetti privati), per cui anche i trattamenti effettuati differiscono in maniera rilevante tra loro, richiedendo al Responsabile della protezione dei dati un maggiore impegno nell’approfondimento delle diverse peculiarità.

Sulla base di quanto sopra enunciato e al fine di assicurare l’efficace svolgimento dei propri compiti, i soggetti pubblici potrebbero:

  1. costituire un gruppo di collaboratori a supporto del Responsabile della protezione dei dati designato in comune;
  2. definire preventivamente la percentuale del tempo lavorativo destinata all’attività da svolgere nei confronti di ciascun Titolare del trattamento che ha designato il medesimo Responsabile della protezione dei dati;
  3. individuare, per ciascun singolo Titolare del trattamento, uno specifico referente cui il Responsabile della protezione dei dati possa rivolgersi;
  4. in sede di procedura di selezione, chiedere ai candidati all’incarico di Responsabile della protezione dei dati di specificare nei confronti di quanti altri Titolari del trattamento sia svolta la medesima funzione, eventualmente indicando anche le tipologie di enti pubblici (ad esempio quanti Comuni, quanti Istituti scolastici, quante Aziende fornitrici di servizi pubblici, etc.) al fine di verificare che non sussistano situazioni di incompatibilità.

Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un Responsabile della protezione dei dati?

Il RGPD consente l’assegnazione al Responsabile della protezione dei dati di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (articolo 38, paragrafo 6 e che consentano al Responsabile della protezione dei dati di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (articolo 38, paragrafo 2).

A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al Responsabile della protezione dei dati non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.

In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al Responsabile della protezione dei dati ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di Responsabile della protezione dei dati al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti  che il RGPD attribuisce al Responsabile della protezione dei dati.

Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al Responsabile della protezione dei dati, particolare attenzione andrebbe infine prestata nei casi di unico Responsabile della protezione dei dati tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di Responsabile della protezione dei dati esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio il Responsabile della protezione dei dati dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

di Alessandra Totaro