In data 25 maggio 2018 è entrato in vigore il Regolamento generale UE 2016/679 sulla protezione dei dati (d’ora in avanti “RGPD”), ma ancor prima il Garante per la protezione dei dati personali si è soffermato sull’importanza del Responsabile della protezione dei dati. Nel presente articolo si fornirà maggior chiarezza in merito alle caratteristiche di tale figura, in particolar modo nell’ambito pubblico.
Chi deve essere il referente persona fisica?
Alcuni dubbi sono emersi in ordine alla possibilità che la persona giuridica candidata ad assumere l’incarico di Responsabile della protezione dei dati per conto di una pubblica amministrazione possa avvalersi di un referente persona fisica che non sia un dipendente della società medesima (e, quindi, esterno al suo organico).
Il referente persona fisica deve essere anch’egli in possesso di tutti i requisiti stabiliti dal RGPD, compresi i requisiti professionali di cui all’articolo 37, paragrafo 5. Posta tale precisazione si ritiene che obbligare una persona giuridica, che intenda candidarsi a rivestire l’incarico di Responsabile della protezione dei dati presso un ente pubblico, ad indicare quale referente persona fisica esclusivamente un proprio dipendente impedisce a tutta una serie di realtà (quali società tra professionisti e studi professionali associati, o anche solo organizzazioni che abbiano stipulato un contratto di opera intellettuale con un professionista esterno) a prender parte a procedure di affidamento del servizio in questione, senza che tale impedimento abbia alcun aggancio nel RGPD, dove non è presente alcuna disposizione che richieda la sussistenza di un siffatto rapporto di subordinazione.
Si ritiene che il referente persona fisica indicato dalla persona giuridica non debba necessariamente essere un suo dipendente, e quindi non debba obbligatoriamente trovarsi in un rapporto di subordinazione. In ogni caso deve sussistere un rapporto giuridico che fornisca prova della sussistenza di un legame valido, stabile e legittimi tale indicazione nei confronti dell’ente pubblico aggiudicante.
Deve sempre essere assicurata la massima e preventiva correttezza e trasparenza da parte della persona giuridica che intende essere designata una buona pratica che l’ente committente richieda alle società candidate per l’incarico di Responsabile della protezione dei dati adeguate informazioni, eventualmente comprovate da idonea documentazione, circa la persona fisica da indicare come referente come, ad esempio:
- i dati identificativi;
- il possesso dei requisiti di cui all’articolo 37, paragrafo 5 del RGPD;
- l’assicurazione che tale persona fisica non abbia già un numero di incarichi che ne rendano difficoltoso l’adempimento (ad esempio indicando il numero di incarichi già rivestiti);
- il tipo di rapporto contrattuale intrattenuto.
Sempre al fine di assicurare la massima trasparenza, l’ente committente potrebbe valutare l’opportunità di inserire all’interno del contratto una clausola che obblighi la persona giuridica affidataria a comunicargli qualsiasi variazione intervenuta in sede di esecuzione, riguardante il referente persona fisica previamente individuato, al fine di consentire al Titolare del trattamento di verificare che il Responsabile della protezione dei dati garantisca il mantenimento, nel tempo, dell’effettivo possesso dei requisiti richiesti.
Quanto dura l’incarico del Responsabile della protezione dei dati?
Sono state riscontrate situazioni in cui la durata dell’incarico del Responsabile della protezione dei dati assegnato a un soggetto esterno all’amministrazione era strettamente legata alla durata del mandato del vertice della medesima (come, ad esempio, il Sindaco di un Comune). A tal proposito si rileva che il Responsabile della protezione dei dati deve svolgere la propria funzione in maniera indipendente rispetto alle decisioni adottate dal legale rappresentante del Titolare del trattamento, mentre un legame in tal modo instaurato rischia di creare un rapporto su base fiduciaria, che può minare la separazione delle competenze e l’autonomia del Responsabile della protezione dei dati, creando una soggezione di fatto fra organo politico e soggetto di consulenza/sorveglianza.
La durata del contratto di servizi deve essere tale da consentire al Responsabile della protezione dei dati di poter impostare, in un periodo non breve, le attività necessarie per rendere conformi al RGPD i trattamenti effettuati dal Titolare che lo ha incaricato. Spetta ovviamente a ciascun ente pubblico valutare la congruità della durata rispetto alle caratteristiche dell’amministrazione (dimensioni, risorse a disposizione, etc.) e a quelle dei trattamenti svolti (complessità, qualità e quantità dei dati personali, etc.). Tuttavia, in linea di massima, si ritiene che un periodo adeguato di durata dell’incarico possa essere stimato intorno ai tre anni, al fine di fornire al Responsabile della protezione dei dati il tempo adeguato per poter conoscere correttamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati.
Nello stabilire la durata del contratto con il Responsabile della protezione dei dati esterno, l’ente pubblico, pur all’interno di una sfera di discrezionalità riguardo alle scelte organizzative, non può affidarsi a criteri che possano essere indicativi di un rapporto non improntato all’autonomia di azione del Responsabile della protezione dei dati (come, ad esempio, il collegamento dell’incarico di Responsabile della protezione dei dati con il mandato di organo direttivo dell’ente medesimo).
In ultimo, si ricorda che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie debba avvenire nel rispetto del principio di rotazione.
A quanto deve ammontare il compenso del Responsabile della protezione dei dati?
Al Garante per la protezione dei dati personali sono state rappresentate situazioni in cui bandi di gara finalizzati all’esternalizzazione del servizio di Responsabile della protezione dei dati prevedevano compensi estremamente bassi (poche centinaia di euro), avvalendosi del criterio di aggiudicazione basato sul prezzo più basso di cui all’articolo 95 del d.lgs. 18 aprile 2016, n. 50.
Si ritiene che l’eccessivo abbassamento della remunerazione per la fornitura del servizio di Responsabile della protezione dei dati abbia un duplice effetto negativo:
- da una parte, quello di consentire l’aggiudicazione in favore di candidati che, nonostante quanto previsto dall’articolo 37, paragrafo 5, del RGPD, non abbiano una formazione specifica idonea allo svolgimento dei delicati compiti che spettano al Responsabile della protezione dei dati;
- dall’altra, quello di spingere i soggetti affidatari ad accumulare un elevato numero di incarichi, con la conseguenza di non riuscire ad offrire un servizio efficace a ciascuno dei propri clienti.
Come precisato per la durata del contratto, anche nella determinazione del compenso l’ente pubblico affidante dovrebbe effettuare variazioni di congruità della cifra da stabilire, al fine di investire un Responsabile della protezione dei dati che svolga i propri compiti in maniera adeguata. Ciò è il motivo per il quale si invitano le pubbliche amministrazioni, nel momento della definizione dei criteri di aggiudicazione del servizio di Responsabile della protezione dei dati, a considerare di privilegiare la scelta del criterio dell’offerta economicamente più vantaggiosa.
L’inevitabile collaborazione tra Titolare del trattamento e Responsabile della protezione dei dati
Da alcune verifiche effettuate dal Garante per la protezione dei dati personali è emerso che le interlocuzioni tra Titolare del trattamento e Responsabile della protezione dei dati fossero scarsamente frequenti (in particolar modo nei casi quest’ultimo fosse persona giuridica e fornisse il servizio di cui in esame ad una pluralità di enti pubblici). Altresì, molteplici enti pubblici hanno lamentato dei veri e propri inadempimenti da parte del Responsabile della protezione dei dati designato, “colpevole” di non aver svolto in maniera adeguata i compiti previsti dall’articolo 39 del RGDP o quelli stabiliti all’atto di conferimento dell’incarico (quali, ad esempio, l’attività formativa nei confronti dei dipendenti, oppure il coordinamento nella mappatura dei trattamenti) e il conseguente supporto nello svolgimento degli adempimenti previsti in materia di protezione dei dati personali.
Anche nel caso di designazione di Responsabile della protezione dei dati interno all’amministrazione sono state riscontrate situazioni di scarso coinvolgimento da parte del Titolare del trattamento (soprattutto in occasione delle interlocuzioni avviate con il Garante per la protezione dei dati personali, con la conseguenza di aver reso maggiormente difficoltosa l’acquisizione degli elementi necessari atti a chiarire i trattamenti indagati).
La prassi di instaurare contatti solamente saltuari tra l’ente pubblico e il proprio Responsabile della protezione dei dati (sia esso interno o esterno) vanifica il senso della presenza del responsabile stesso e, con esso, l’approccio di privacy by design e by default promosso dal RGDP, con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari. Dalle ispezioni effettuate risulta che la mancata collaborazione possa essere imputabile a entrambe le parti: al Responsabile della protezione dei dati, in quanto spesso portato a non proporre adeguatamente al Titolare del trattamento le attività necessarie per conformare i trattamenti alla disciplina in materia di protezione dei dati personali; all’ente pubblico, per errata tendenza a considerare la nomina del Responsabile della protezione dei dati unicamente come mero adempimento formale.
Quali possono essere, alla luce di quanto sopra enunciato, delle buone pratiche atte a coinvolgere il Responsabile della protezione dei dati nell’espletamento delle sue funzioni?
- l’individuazione all’interno dell’amministrazione di una figura adeguata (per posizione e competenze) che funga da punto di riferimento per il Responsabile della protezione dei dati. I due soggetti dovranno interloquire costantemente, al fine di ricevere gli elementi richiesti per lo svolgimento dei propri compiti, oltre che per facilitare il dialogo con il vertice amministrativo;
- la condivisione di un’agenda mediante la quale fissare momenti di dialogo con una congrua periodicità;
- la proposta da parte del Responsabile della protezione dei dati al Titolare del trattamento di attività da svolgere per migliorare la gestione dei trattamenti sul piano della conformità alla disciplina di settore. Ciò dovrà essere effettuato sia al momento dell’assunzione dell’incarico, sia durante l’esecuzione dello stesso. Tra tali attività, potrebbe, ad esempio, rientrarvi la predisposizione di:
- documenti informativi (rivolti sia al vertice dell’ente, sia ai dipendenti e collaboratori dello stesso);
- attività di supporto per l’adempimento di singoli obblighi previsti dal RGDP, quali: informative, designazioni dei responsabili del trattamento e delle persone autorizzate (con suggerimenti circa le possibili istruzioni da impartire), il registro dei trattamenti, il registro delle violazioni;
- proposte di misure tecniche e organizzative per aumentare il livello generale di protezione dei dati personali, oggetto dei trattamenti posti in essere e per una più efficace tutela dei diritti e delle libertà fondamentali degli interessati;
- procedure interne per la gestione di eventi particolari quali la violazione di dati personali di cui agli articoli 33 e 34 del RGDP, o le valutazioni di impatto sulla protezione dei dati di cui all’articolo 35 del RGDP;
- la rendicontazione dell’attività svolta, sia quella in loco (ad esempio mediante la stesura di verbali degli incontri), sia quella a distanza;
- lo svolgimento di attività di formazione e aggiornamento rivolte alle persone autorizzate al trattamento dei dati dell’ente, da effettuarsi anche mediante la messa a disposizione di idonea documentazione.
Per tali motivi il Garante per la protezione dei dati personali, allo scopo di vincolare maggiormente i Responsabili della protezione dei dati allo svolgimento dei compiti loro spettanti (in particolare quando si tratta di soggetti esterni), suggerisce agli enti pubblici di specificare espressamente tali attività tra gli obblighi contrattuali, pur nel rispetto del divieto di rimozioni o penalizzazioni per l’adempimento dei propri compiti di cui all’articolo 38, paragrafo 3 del RGDP.
Non devono, invece, essere assegnati al Responsabile della protezione dei dati compiti che spettano al Titolare del trattamento e che non rientrano tra le attività di consulenza, sorveglianza e, più in generale, consultazione, stabilite dall’articolo 39 del RGDP. Il Responsabile della protezione dei dati non può, difatti, essere chiamato a svolgere attività che, in base a quanto stabilito dal RGDP, competano al Titolare/Responsabile, peraltro a pena di applicazione di una sanzione amministrativa in caso di violazione. A tal proposito, si ricorda l’articolo 38, paragrafo 3 del RGDP il quale vieta la rimozione o la penalizzazione del Responsabile della protezione dei dati per l’adempimento dei propri compiti confermando, pertanto, che il suolo ruolo è di supporto al Titolare/responsabile (anche di controllo), ma non può da questo essere delegato rispetto a compiti esecutivi che spettano al Titolare o al Responsabile.
Alla scadenza dell’incarico del Responsabile della protezione dei dati, e in attesa della conclusione della procedura di affidamento dell’incarico, come potrà agire l’ente?
Più precisamente, si pone la questione se a seguito della scadenza dell’incarico di un Responsabile della protezione dei dati (ad esempio, per cessazione del contratto con un Responsabile della protezione dei dati esterno o per collocamento a riposo di un Responsabile della protezione dei dati interno), e in attesa della conclusione della procedura di affidamento dell’incarico ad un nuovo Responsabile della protezione dei dati (per lo più esterno), l’ente pubblico possa attendere l’esito di tale procedura oppure, nelle more, sia tenuto a designare, anche temporaneamente, un Responsabile della protezione dei dati (eventualmente interno) per il tempo necessario a colmare questo periodo di sospensione. In questi casi, nelle more della selezione del nuovo Responsabile della protezione dei dati esterno, nel rispetto del principio generale di continuità dell’azione amministrativa, collegato a quello di buon andamento dell’azione stessa, l’amministrazione pubblica è comunque tenuta ad individuare temporaneamente, al proprio interno, un dirigente/funzionario da designare interinalmente in questo ruolo. Tale soggetto interno deve essere in possesso dei requisiti richiesti dal RGPD e, qualora questo abbia già un incarico dirigenziale all’interno dell’amministrazione, ciò non dovrebbe comportare la sottrazione del tempo necessario allo svolgimento dei compiti assegnati al Responsabile della protezione dei dati, né dovrebbe dar luogo ad una situazione di conflitto di interessi qualora, ad esempio, partecipi alla definizione delle finalità o modalità dei trattamenti di dati personali effettuati dal Titolare del trattamento.
Posto (come più volte ribadito) l’obbligo in capo ad ogni ente pubblico di dotarsi di un Responsabile della protezione dei dati nel pieno delle sue funzioni, spetta ad ogni amministrazione, in conformità al principio di accountability, ogni valutazione in merito alla scelta della figura da individuare quale Responsabile della protezione dei dati, tenuto in ogni caso conto che tale particolare situazione di transitorietà rappresenta un elemento utile nella valutazione della sussistenza di un effettivo rischio di conflitto di interessi in cui potrebbe incorrere la risorsa interna temporaneamente designata. Ad ogni modo, restano fermi gli obblighi di pubblicazione dei dati di contatto del Responsabile della protezione dei dati e di comunicazione degli stessi al Garante per la protezione dei dati personali, anche con riferimento alla figura nominata in via temporanea.
di Alessandra Totaro