Responsabile della Protezione dei dati (DPO) in ambito pubblico – Nuove linee guida (Parte I)

Dopo la pubblicazione delle Linee guida sui responsabili della protezione dei dati da parte del gruppo di lavoro articolo 29 per la protezione dei dati, il Garante Privacy specifica le nuove linee guida riguardo alla figura del DPO: vediamo i punti salienti.

1. Quali sono i soggetti tenuti alla designazione del DPO, ai sensi del nuovo regolamento GDPR?

L’art. 37 del GDPR prevede che i titolari e i responsabili del trattamento designino un DPO «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Attualmente, in ambito pubblico, devono designare un DPO i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, se non obbligatorio, procedere alla designazione di un DPO. In ogni caso, qualora si proceda alla designazione di un DPO su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i DPO designati in via obbligatoria.

2. Nel caso in cui il DPO sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Il GDPR non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”.

Nel caso in cui si opti per un DPO interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

3. Quali certificazioni risultano idonee a legittimare il DPO nell’esercizio delle sue funzioni, ai sensi del GDPR?

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del GDPR) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del DPO né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al DPO per svolgere i compiti previsti dall’art. 39 del GDPR.

4. Con quale atto formale deve essere designato il DPO?

Il GDPR prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il DPO; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.

Nel caso in cui la scelta del DPO ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del GDPR (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).

Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del GDPR, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del DPO pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del DPO nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.

Come chiarito nelle Linee guida non è necessario – anche se potrebbe costituire una buona prassi in ambito pubblico – pubblicare anche il nominativo del DPO, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante).

Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali.

• Ottieni una panoramica del Regolamento Privacy con il nostro libro verde gratuito.

• Guarda i webinar dalla nostra serie di webinar GDPR.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.