Il Data Protection Officer nella Pubblica Amministrazione

Luci ed ombre di una nuova figura professionale

di Carmela Miranda

Il Regolamento generale sulla protezione dei dati, anche noto come GDPR, delinea un nuovo quadro giuridico in materia di protezione dei dati personali, al centro del quale si colloca la figura del Responsabile della protezione dei dati (Data Protection Officer – DPO).

Sebbene la sua designazione non costituisca una novità assoluta nel panorama comunitario, dal momento che già prima dell’entrata in vigore del Regolamento in molti Stati membri era divenuta una prassi costante, il DPO rappresenta uno degli elementi chiave all’interno del sistema di governance dei dati personali così come definito dalGDPR.

Data la sua cruciale rilevanza, il Gruppo di lavoro – organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata istituito in virtù dell’articolo 29 della direttiva 95/46/CE – ad integrazione delle disposizioni regolamentari che individuano una serie di condizioni in rapporto alla nomina, allo status e ai compiti specifici, ha elaborato delle Linee guida specificatamente dedicate a tale figura.  Il proposito è quello di favorire, attraverso un’analisi approfondita dei singoli riferimenti normativi, l’osservanza del Regolamento da parte dei titolari e dei responsabili del trattamento oltre a voler fungere da ausilio ai DPO nell’esecuzione delle mansioni loro attribuite.

Nel fornire preziose precisazioni, il Gruppo di lavoro si sofferma, in particolare, sulla nomina del DPO in ambito pubblico. Posto infatti che l’art. 37, par. 1, qualifica come obbligatoria la designazione del DPO da parte di autorità o organismi pubblici, occorreva chiarire, in primo luogo, il significato di “autorità pubblica” o “organismo pubblico, giacchè nel Regolamento non si rinviene alcuna specificazione in tal senso. Sul punto, le Linee guida evidenziano che tale definizione debba essere conforme al diritto nazionale, di talchè sono senza dubbio ricomprese in tale genus, ai fini dell’applicazione del GDPR, le autorità nazionali, regionali e locali nonché tutta una serie di altri organismi di diritto pubblico individuati come tali dal diritto nazionale.

Seguendo le indicazioni  del Garante per la protezione dei dati personali, devono ritenersi tenuti alla designazione di un DPO i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice della Privacy (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Inoltre, com’è noto, lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non appartengono esclusivamente alle autorità e agli organismi pubblici, potendo riguardare anche persone fisiche o giuridiche, di diritto privato.

Benché in tali casi non sussista l’obbligo di nominare un DPO, il Gruppo di lavoro ne raccomanda ugualmente la designazione, definendola una “buona prassi” e, precisando, che nelle suddette ipotesi, le attività del DPO si estenderanno a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale.

L’art. 37, par. 3, inoltre, ammette che più autorità o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione, possano nominare un unico DPO.

Ad assumere tale carica, afferma il Regolamento, può essere un dipendente del titolare o del responsabile del trattamento ovvero un soggetto esterno, chiamato ad assolvere i suoi compiti in base a un contratto di servizi. Il GDPR, tuttavia, non precisa quale qualifica debba possedere il DPO nell’ipotesi in cui si tratti di un dipendente dell’autorità o dell’organismo pubblico. A fornire maggiori indicazioni è il Garante, il quale suggerisce, a tal fine, che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Ciò in quanto il GDPR prescrive che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione dei compiti affidatigli, aggiungendo che i DPO, dipendenti o meno del titolare del trattamento, sono tenuti ad adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente. Inoltre, nel rispetto dell’art. 38, par. 3, il DPO dovrà riferire direttamente al vertice gerarchico del titolare o del responsabile del trattamento.

Ciò posto, l’obbligatoria individuazione, in ambito pubblico, di un soggetto che funga da DPO solleva due rilevanti interrogativi alla risposta dei quali ha provveduto il Garante, in assenza di riferimenti normativi rinvenibili nel corpo del GDPR o indicazioni contenute nelle Linee guida. Più in particolare, si trattava di determinare la tipologia di atto formale attraverso il quale designare il DPO e, in secondo luogo, se la nomina di un DPO interno all’autorità o all’organismo pubblico richiedesse necessariamente anche la costituzione di un apposito ufficio.

Quanto al primo quesito, stando alle informazioni fornite dal Garante, occorre distinguere a seconda che l’autorità o l’organismo pubblico prediligano la nomina di un DPO “interno” ovvero “esterno”. Infatti, nel caso in cui la scelta del DPO ricada su una professionalità interna all’ente, si renderà necessario formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del GDPR.

Ad ogni modo, indipendentemente dalla natura e dalla forma dell’atto utilizzato, sarà necessario, precisa il Garante, che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

Si sottolinea, inoltre, che nell’atto di designazione o nel contratto di servizi dovranno risultare indicate, anche se in maniera succinta, le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO. La chiara esposizione di tali ragioni, non solo, costituisce un indice di trasparenza e di buona amministrazione, ma rappresenta anche elemento di valutazione del rispetto del principio di «responsabilizzazione», principio sulla quale si fonda l’intero sistema di protezione dei dati personali delineato dal GDPR.

In relazione al secondo quesito, invece, seguendo le coordinate del Garante, sarà determinante valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al DPO. Infatti, come riportato anche nelle Linee guida, all’aumentare della mole e/o sensibilità dei trattamenti, maggiori dovranno essere le risorse messe a disposizione del DPO, al fine di garantire che quest’ultimo possa operare con efficienza nello svolgimento delle sue mansioni.

Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di DPO.

Infine, anche le autorità e gli organismi pubblici sono chiamati al rispetto di quanto stabilito dall’art. 37, par. 7, del GDPR, il quale sancisce l’obbligo per il titolare o responsabile del trattamento di pubblica i dati di contatto del DPO e di comunicarli all’autorità di controllo.

Dunque, come precisato dal Garante, una volta designato il DPO, l’ente pubblico sarà tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del DPO, pubblicando gli stessi anche sui siti web e a comunicarli al Garante.

Per quanto attiene al sito web, inoltre, il Garante suggerisce di inserire i riferimenti del DPO nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.


Autore:


it_ITItaliano
en_USEnglish it_ITItaliano