Il Responsabile della protezione dei dati – Casi di incompatibilità con altri incarichi e conflitti di interesse

In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. Nel presente articolo si fornirà maggior chiarezza in merito alle caratteristiche di tale figura, in particolar modo nell’ambito pubblico.

Responsabile della protezione dei dati: casi di incompatibilità con altri incarichi e conflitto di interessi

Il Garante per la protezione dei dati personali ha riscontrato molteplici situazioni in cui ad essere nominato Responsabile della protezione dei dati fosse un soggetto che svolgeva altri compiti in grado di determinare un’incompatibilità o una situazione di conflitto di interessi (in quanto tali ulteriori incarichi impediscono alla figura preposta di svolgere la propria attività di Responsabile della protezione dei dati con la dovuta indipendenza). Ciò si può verificare nel momento in cui la figura individuata in qualità di Responsabile della protezione dei dati riveste, all’interno dell’organizzazione della pubblica amministrazione, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali (ad esempio perché le sono conferiti poteri decisionali all’esito di trattamenti di dati personali di particolare delicatezza. Ugualmente, stesse problematiche possono insorgere, con riferimento al Responsabile della protezione dei dati di provenienza esterna nel caso in cui quest’ultimo debba seguire le istruzioni impartite dal Titolare del trattamento (ad esempio nel caso in cui sia stato nominato da quest’ultimo quale responsabile del trattamento ai sensi dell’articolo 28 del RGDP per la fornitura di un determinato servizio).

Per i motivi di cui sopra, il Garante per la protezione dei dati personali invita i Titolari del trattamento ad individuare in via preventiva qualifiche e funzioni che sarebbero incompatibili con quella di Responsabile della protezione dei dati e redigere regole interne al fine di evitare conflitti di interesse.

Quali problematiche possono riscontrarsi in materia di incompatibilità con altri incarichi e conflitto di interessi?

Di seguito quattro casistiche attenzionate dal Garante per la protezione dei dati personali che meritano di essere esaminate.

1. Responsabile della protezione dei dati interno che assume decisioni in materia di finalità e modalità del trattamento

Accade di frequente che enti pubblici decidano di affidare il ruolo di Responsabile della protezione dei dati a figure già chiamate ad assolvere altri specifichi incarichi che comportano poteri decisionali: si pensi, ad esempio, a quelli in materia di trasparenza e/o di prevenzione della corruzione.

Altre situazioni di conflitti di interessi possono verificarsi in riferimento alla sovrapposizione dell’incarico di Responsabile della protezione dei dati con quello di dirigente dell’unità organizzativa chiamata a curare la valutazione d’impatto sulla protezione dei dati relativa ad uno specifico trattamento. A tal riguardo, al Responsabile della protezione dei dati spettano prerogative di consultazione da parte del Titolare del trattamento che, in questo modo, verrebbero svuotate a causa della coincidenza soggettiva.

Sulla scia di quanto sopra enunciato, il Garante per la protezione dei dati personali precisa che le indagini debbano essere attuate verificando “caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento”. Ciò significa che il Titolare del trattamento, al fine di procedere ad una valutazione definitiva sulla sussistenza o meno di cause di incompatibilità di ogni singola realtà, dovrà considerare i seguenti elementi:

• dimensioni dell’ente;
• risorse a disposizione;
• complessità della struttura;
• tipologie di trattamenti svolti;
• qualità e quantità dei dati trattati;
• etc.

Si può affermare la sussistenza di un conflitto di interessi in relazione a ruoli quali responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati.

Sulla base di quanto appena considerato, si ritiene che tali tipologie di incarichi siano incompatibili con quello del Responsabile della protezione dei dati, quantomeno per quanto concerne le grandi amministrazioni che dispongono di risorse tali da potersi avvalere di un Responsabile della protezione dei dati a ciò preposto. Questo vale sia per enti pubblici di carattere nazionale (ad esempio i Ministeri) che per quelli territoriali (Regioni, grandi strutture sanitarie, Comuni di dimensioni rilevanti, etc.). Per quegli enti che reputino di non poter nominare una figura esclusivamente dedicata a ricoprire l’incarico di Responsabile della protezione dei dati, il Titolare del trattamento dovrà mettere a disposizione dell’Autorità le valutazioni effettuate ai sensi degli articoli 5, paragrafo 2 e 24 del RGDP.

Discorso diverso vale per quei soggetti che partecipano a organismi collegiali. In questi casi è possibile che la normativa preveda misure adeguate a prevenire rischi di conflitti di interessi: ad esempio, il fatto che i componenti che ritengano di trovarsi in tale situazione lo dichiarino e si astengano sia dalla discussione che dalla deliberazione. Per tali ragioni si ritiene che il componente di questo organismo collegiale qualora investito dell’incarico di Responsabile della protezione dei dati non si trovi in una situazione di conflitto di interessi, a condizione che siano presenti e rispettate le misure di prevenzione.

Ad ogni modo, l’ente pubblico deve considerare che l’accumulo di incarichi ulteriori sulla figura identificata a svolgere il ruolo di Responsabile della protezione dei dati intacca la capacità dello stesso di assolvere in modo adeguato i compiti assegnatagli da RGDP. L’amministrazione, tenendo conto degli elementi indicati sopra nell’elenco, dovrebbe pertanto affidare l’incarico di Responsabile della protezione dei dati a una persona che possa dedicarsi a tempo pieno.

2. Responsabile della protezione dei dati esterno che fornisce servizi IT in qualità di responsabile del trattamento

Molteplici sono stati i casi in cui il Garante per la protezione dei dati personali ha rilevato il fatto che soggetti che forniscono servizi (soprattutto nel settore IT) a pubbliche amministrazioni in qualità di responsabili del trattamento ai sensi dell’articolo 28 del RGDP fornissero, contemporaneamente, il servizio di Responsabile della protezione dei dati, beneficiando del preesistente legame instaurato con il Titolare del trattamento.

Stessa situazione si presenta nel caso in cui venga designato come Responsabile della protezione dei dati non l’intera società bensì una persona fisica che, per ruolo e poteri all’interno della società stessa, sia in grado di adottare decisioni che influiscano sulla fornitura dei servizi IT, impattando così sui trattamenti di dati personali effettuati per conto dell’amministrazione titolare (ad esempio l’amministratore delegato o, comunque, chiunque rivesta un ruolo di vertice al suo interno).

È facilmente intuibile che l’accavallarsi della figura del Responsabile della protezione dei dati e di responsabile IT renda pressoché impossibile il garantire la sorveglianza sull’adeguatezza delle soluzioni e delle misure tecniche e organizzative adottate poiché i ruoli di controllore e controllato confluirebbero in capo al medesimo soggetto. L’indipendenza richiesta in capo al Responsabile della protezione dei dati dal considerando 97 de RGPD verrebbe, quindi, minata in ragione delle istruzioni che, nel ruolo di responsabile del trattamento, lo stesso deve ricevere dal Titolare del trattamento ai sensi dell’articolo 28, paragrafo 3, lettera a)[1], andando altresì a compromettere anche il divieto di ricevere istruzioni di cui al paragrafo 3 dell’articolo 38[2].

[1] “[…] I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico […]”.

[2] “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

Altra criticità ravvisata consiste nel fatto che, nelle casistiche di cui sopra, spesso l’ente non abbia provveduto a stipulare con il fornitore di servizi IT l’accordo di cui all’articolo 28 del RGDP. In tali ipotesi, un Responsabile della protezione dei dati terzo avrebbe segnalato tale violazione e proposto soluzioni adeguate atte a ripristinare la conformità.

Il conflitto di interessi si verifica poi, in maniera ancora più incisiva, laddove il fornitore IT fornisca all’ente propri prodotti software (nonché l’assistenza tecnica annessa). È fuor di dubbio che, in questo modo, l’attività di consulenza del Responsabile della protezione dei dati non assumerebbe i caratteri necessari dell’imparzialità dal momento in cui lo stesso si troverebbe a dover fornire giudizi su prodotti forniti dalla propria società.

Sulla base di quanto sopra esposto, il consiglio è quello di evitare di designare Responsabili della protezione dei dati, soggetti a cui l’amministrazione affida un trattamento per suo conto, con conseguente necessità di definizione di un rapporto Titolare del trattamento/Responsabile. Ad ogni modo, laddove l’ente ritenga comunque di non poter evitare l’affidamento dell’incarico di Responsabile della protezione dei dati alla società fornitore IT, ciò potrebbe avvenire solamente a condizione che il Responsabile della protezione dei dati o il suo referente persona fisica non rivesta un incarico di vertice nell’azienda. Inoltre, (altra condizione necessaria da rispettare affinché tale soluzione possa essere vagliata) è indispensabile che sia posta una rigida separazione all’interno dell’organizzazione societaria tra le attività rese come Responsabile della protezione dei dati e quelle rese come responsabile del trattamento per gli altri servizi. Tuttavia, fermo restando la possibilità che possano comunque esservi dei rischi di conflitti di interesse, sarà necessario comprovare adeguatamente il rispetto di tali misure, documentando altresì le ragioni e il contesto in cui tale scelta è maturata.

Allo stesso modo il responsabile del trattamento non potrà essere coinvolto nel processo di selezione del Responsabile della protezione dei dati da parte dell’ente poiché tale prerogativa spetta unicamente al Titolare del trattamento. Questo anche perché, sulla base di quanto stabilito all’articolo 39, paragrafo 1, lettera b) del RGDP[3], i rapporti tra Titolare e responsabile sono oggetto di vigilanza da parte del Responsabile della protezione dei dati.

[3] “[…] sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo […]”.

3. Responsabile della protezione dei dati esterno che rappresenta in giudizio il Titolare del trattamento

Casi non così poco diffusi hanno visto Comuni, a seguito di azioni giudiziarie promosse da cittadini, costituirsi in giudizio per mezzo di un avvocato che, contemporaneamente, svolgeva l’incarico di Responsabile della protezione dei dati per conto del medesimo ente. Tali Comuni hanno ritenuto che questa scelta non comportasse alcun conflitto di interessi poiché il giudizio instaurato non poneva le basi su questioni legate alla protezione dei dati personali. Tuttavia, si precisa il fatto che sia difficile stabilire a priori che una vertenza giudiziaria non possa coinvolgere anche profili di protezione dei dati personali. Perciò, a prescindere dalle casistiche che possano realizzarsi nel concreto (tali, per esempio, da escludere che il giudizio possa vertere su questioni relative alla protezione dei dati personali), si invitano gli enti pubblici a designare un Responsabile della protezione dei dati che, contemporaneamente, non svolga per i medesimi il ruolo di difensore in giudizio;

4. Responsabile della protezione dei dati interno che sia sottoposto ad un’altra figura

Come già in precedenza ribadito, è opportuno valutare se l’insieme dei compiti assegnati al Responsabile della protezione dei dati siano o meno compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale. Nel caso di Responsabile della protezione dei dati interno, qualora il soggetto designato sia sottoposto ad un’altra figura (come il funzionario inquadrato in un’unità organizzativa e quindi subordinato ad un dirigente), questo rapporto potrebbe impedire al Responsabile della protezione dei dati lo svolgimento con la dovuta autonomia delle proprie mansioni.

In merito, l’articolo 38 del RGPD stabilisce alcune garanzie atte a consentire ai Responsabili della protezione dei dati di operare con un grado sufficiente di autonomia all’interno dell’organizzazione, mentre il rapporto diretto con il vertice amministrativo garantisce che quest’ultimo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal Responsabile della protezione dei dati nell’esercizio delle funzioni di informazione e consulenza a favore del Titolare del trattamento/Responsabile.

Ciò detto, nel caso in cui l’ente decida di designare un Responsabile della protezione dei dati interno, sarebbe auspicabile che tale nomina venisse conferita a un dirigente ovvero a un funzionario di alta professionalità che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in diretta collaborazione con il vertice dell’organizzazione.

Nel caso sia nominato un funzionario occorrerà, però, l’adozione da parte dell’ente di idonee garanzie affinché l’attività svolta in qualità di Responsabile della protezione dei dati non subisca interferenze per effetto dell’inquadramento del medesimo soggetto in un’unità organizzativa retta da un dirigente le cui valutazioni potrebbero essere oggetto di valutazione da parte del Responsabile della protezione dei dati.

di Alessandra Totaro