LA NOMINA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI NEI SOGGETTI PUBBLICI: MERO OBBLIGO O ANCHE UN’OPPORTUNITA’?
1. Normativa e obbligatorietà della nomina
Il regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE: Regolamento Generale sulla Protezione dei Dati - RGPD), nell’introdurre una normativa uniforme sulla protezione dei dati personali fondata su un approccio risk based e sul principio di accountability (1), ha previsto una nuova figura che deve essere obbligatoriamente designata in alcune specifiche ipotesi dai titolari e dai responsabili del trattamento (2): il Responsabile della Protezione dei Dati (RPD – o Data Protection Officer- DPO nella versione inglese).
Si tratta di una figura in realtà già nota in alcuni ordinamenti europei (3) che il Legislatore europeo ha voluto introdurre in via generale allo scopo di rafforzare gli strumenti per garantire il rispetto della normativa in situazioni considerate di elevato rischio.
Secondo il Regolamento, la nomina del RPD è obbligatoria solo in tre casi specifici (4) ossia quando:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Con riferimento al settore “pubblico”, come chiarito dal Gruppo di Lavoro Articolo 29 in materia di protezione dei dati personali (WP29) nelle “Linee-guida sui responsabili della protezione dei dati (RPD)” WP243 adottate il 13 dicembre 2017, devono essere i legislatori nazionali a specificare chi siano i soggetti che ricadono in tale definizione (5).
Dovrà, dunque, attendersi un intervento normativo in tal senso che operi, ad esempio, alla stregua di quanto attuato dal recente decreto legislativo 97/2016 con riferimento alla individuazione dell’ambito di applicazione della normativa in materia di trasparenza e anticorruzione (6).
Nell’attesa di tale intervento dovranno essere valutati i singoli casi, prendendo come punto di riferimento la normativa interna (7) e la normativa europea (8) e considerando che in caso di violazione dell’obbligo di nominare il responsabile della protezione dei dati il Regolamento prevede delle sanzioni molto elevate.
Occorre inoltre evidenziare che sussistono numerosi casi in cui lo svolgimento di funzioni pubbliche, l’esercizio di pubblici poteri o la gestione di servizi pubblici vengono eseguiti da soggetti formalmente privati. Il Gruppo di lavoro WP29 individua ad esempio i trasporti pubblici, le forniture idriche ed elettriche, le infrastrutture stradali, le emittenti radiotelevisive pubbliche, gli istituti per l’edilizia pubblica o organismi di disciplina professionale, ma si pensi anche in via generale allo svolgimento di servizi pubblici locali quali la gestione dei rifiuti, il servizio farmaceutico, il trasporto pubblico locale.
In tutti questi casi, trattandosi di soggetti formalmente privati, la nomina del Responsabile della Protezione dei Dati, secondo quanto previsto dal Regolamento, non risulta obbligatoria.
Il Gruppo di Lavoro Articolo 29 si è, però, preoccupato del fatto che nelle suddette ipotesi gli interessati si trovano in una situazione molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico avendo essi margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali, e ha raccomandato, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino comunque un RPD.
Occorre soggiungere che i soggetti che esplicano funzioni pubbliche o servizi pubblici potrebbero sempre ricadere nelle altre ipotesi di obbligatorietà prevista per i soggetti privati.
In particolare, ciò accade allorquando il trattamento avvenga su “larga scala”. Pur non esistendo una definizione di tale parametro, il Gruppo di Lavoro Articolo 29 nelle Linee Guida WP 243 ha considerato come fattori utili per verificare se un trattamento è eseguito su larga scala il numero di soggetti interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata dell’attività di trattamento, la portata geografica dell’attività di trattamento.
Secondo le Linee Guida WP 243 esempi di trattamenti su “larga scala” sono quelli effettuati dagli ospedali relativamente ai dati dei pazienti, quelli delle aziende di trasporto pubblico cittadino relativi agli spostamenti di utenti, o quelli deli fornitori di servizi telefonici o telematici.
Affinché sia obbligatoria la nomina del RPD è comunque altresì necessario che il trattamento richieda un monitoraggio regolare o sistematico degli interessati (9) oppure che i trattamenti abbiano oggetto dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica, oppure dati personali relativi a condanne penali e reati.
Peraltro la nomina rimane sempre possibile in via facoltativa.
Nel caso in cui il RPD venga nominato facoltativamente le sue attività si estenderanno a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale.
2. Competenze e posizione
Il RPD può essere sia un dipendente del titolare (o responsabile) (10), sia un soggetto esterno al quale l’incarico è affidato con contratto di servizi.
Per la designazione del RPD il titolare (o responsabile) del trattamento dovrà, quindi, in primo luogo, verificare l’esistenza di una figura idonea all’interno della propria organizzazione, tenuto conto di quelle che devono essere le competenze, le conoscenze e la posizione che il soggetto deve rivestire all’interno dell’azienda.
In particolare, le qualità professionali del RPD devono sostanziarsi nella conoscenza specifica della normativa e delle prassi in materia di privacy, nonché della normativa e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Le conoscenze specialistiche devono essere proporzionate alla sensibilità, complessità e quantità dei dati oggetto del trattamento.
Nel caso di una autorità pubblica o di un organismo pubblico il RPD dovrebbe, in particolare, possedere una conoscenza approfondita delle norme e delle procedure amministrative applicabili, e, dunque, in primis delle norme sul procedimento amministrativo (l. 241/90) ma altresì delle numerose normative con le quali la protezione dei dati personali necessariamente si interseca, quali a titolo esemplificativo, la normativa in materia di trasparenza (d.lgs 33/13), di corruzione (d.lgs 190/12) nonché il codice della amministrazione digitale (d.lgs 82/05).
La capacità del RPD di assolvere i propri compiti deve essere legata non soltanto alle esperienze maturate ed alle conoscenze acquisite ma altresì alle attitudini e qualità personali del soggetto nonché alle specifiche competenze organizzative e gestionali dallo stesso possedute.
Risulta evidente che se la scelta ricade su un soggetto interno il titolare (o responsabile) avrà modo di verificare con maggiore efficacia le attitudini e le competenze mostrate dal dipendente nello svolgimento del suo lavoro con riferimento, ad esempio, alle relazioni interpersonali, alla gestione del personale e al problem solving.
Nello svolgimento dei propri compiti e delle proprie funzioni al RPD deve essere garantita piena autonomia ed indipendenza.
A tal fine il Regolamento specifica che il RPD non deve ricevere alcuna istruzione sulle modalità di svolgimento del suo lavoro, relativamente, ad esempio, all’approccio da seguire nel caso specifico, a come condurre gli accertamenti su un reclamo o alla opportunità o meno di consultare il Garante. Non deve neppure ricevere istruzioni sull’interpretazione da dare ad una specifica questione attinente alla normativa in materia di protezione dei dati.
Il RPD non deve, poi, essere rimosso o penalizzato per l’adempimento dei propri compiti.
È importante, dunque, che il titolare (o responsabile) appresti una idonea e concreta tutela in ambito lavorativo del RPD che garantisca la sua stabilità.
La indipendenza del RPD si sostanzia anche nel rapporto diretto che lo stesso deve avere nei confronti del vertice gerarchico. Egli dovrà, infatti, rivolgersi direttamente al vertice gerarchico sia nei casi specificamente previsti, sia ogni qual volta ritenuto opportuno per dare informazioni o per esprimere il proprio dissenso in relazione a determinate scelte o, ancora, in via sistematica attraverso, ad esempio, la redazione di una relazione annuale sulla propria attività.
Inoltre, se pur il RPD non dovrà necessariamente dedicarsi in via esclusiva a questo ruolo, essendo consentito l’espletamento di compiti o funzioni ulteriori e diverse, le attività allo stesso assegnate non dovranno comunque dare adito a conflitti di interesse sia con riferimento al tempo necessario per l’esecuzione, sia con riferimento alla tipologia di attività svolta.
In particolare il RPD non potrà certamente essere assegnatario di poteri anche solo latu sensu decisionali in materia di trattamento dei dati.
In proposito risulta particolarmente interessante considerare come il Responsabile della Protezione dei Dati dovrà porsi all’interno di un ente pubblico in rapporto con le diverse figure obbligatoriamente previste dalla più recente legislazione.
Si pensi, ad esempio, al responsabile per la prevenzione della corruzione e la trasparenza (11) cui è demandato, tra gli altri, il compito di valutare il bilanciamento tra le esigenze di trasparenza nella p.a. e le esigenze di tutela della protezione dei dati personali (12), o anche ai ruoli previsti dal Codice dell’amministrazione digitale (CAD - d.lgs 82/05), in particolar modo al responsabile dell’ufficio di cui all’art. 17 e al responsabile per la conservazione di cui all’art. 44 (13).
Per evitare, dunque, sovrapposizioni di ruoli, incompatibilità o duplicazioni di funzioni sarebbe opportuno, de iure condendo, anche ai fini di una semplificazione amministrativa nonché per il raggiungimento di una maggiore efficienza, anche in considerazione delle scarse risorse con cui le pubbliche amministrazioni sono chiamate ad operare, stabilire un raccordo tra le diverse figure nonché tra le molteplici incombenze demandate ad i soggetti pubblici.
In attesa di un intervento normativo, comunque, spetterà al titolare (o responsabile) del trattamento il coordinamento interno della organizzazione strutturale attraverso una attenta valutazione della assenza di conflitto di interessi del responsabile della protezione dei dati.
Nel caso in cui il titolare non ravvisi nel proprio organico alcun soggetto dotato delle su riferite caratteristiche dovrà procedere o alla formazione specifica dei propri dipendenti, o alla assunzione di un nuovo dipendente o alla stipula di un contratto di servizio con un soggetto terzo.
In quest’ultimo caso il RPD può essere anche una persona giuridica.
Le Linee Guida WP243 precisano che ciascun soggetto appartenente al RPD-persona giuridica deve soddisfare tutti i requisiti richiesti e deve personalmente godere di tutte le tutele previste.
Inoltre, all’interno del gruppo di lavoro dovrebbe essere stabilita una chiara ripartizione dei compiti e un solo soggetto dovrebbe fungere da contatto principale e “incaricato” per ciascun cliente.
Può essere inoltre designato un unico RPD da più amministrazioni, tenuto conto della loro struttura organizzativa e della loro dimensione. In tale caso però, il titolare (o responsabile) deve assicurarsi che un unico RPD (eventualmente supportato da un gruppo di collaboratori) sia in grado di adempiere in modo efficiente alle proprie funzioni (14).
La possibilità di designare un unico RPD è prevista dal Regolamento anche nel caso di un gruppo imprenditoriale, a condizione che il RPD sia facilmente raggiungibile da ciascun stabilimento.
Da quanto sommariamente descritto si evince che il Regolamento europeo ha disegnato una figura molto complessa che deve, allo stesso tempo, avere conoscenze trasversali (giuridiche, di sistemi informatici, delle procedure aziendali e nel caso di p.a. del procedimento amministrativo) ed essere dotato di capacità organizzative e manageriali specifiche per l’azienda in cui deve operare.
3. Selezione
Relativamente alle modalità con cui procedere alla designazione o selezione dei candidati, il Garante per la protezione dei dati personali ha precisato (15) che dovranno essere privilegiati soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).
Il Garante ha aggiunto inoltre che, allo stato, la normativa non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali. Se pur, infatti, tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possano rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina, non equivalgono tuttavia a una "abilitazione" allo svolgimento del ruolo del RPD. La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.
Per la selezione del RPD il titolare e il responsabile del trattamento dovranno procedere secondo la disciplina ad essi applicabile.
In particolare, se la figura non è presente in azienda, potranno decidere di procedere alla sua assunzione. Troveranno allora applicazione la l. 165/01 per le “pubbliche amministrazioni”, nonché il d.lgs 175/16 per le società a partecipazione pubblica.
Nel caso in cui, invece, si affidi l’incarico all’esterno, si dovrà procedere secondo quanto previsto dal codice dei contratti (d.lgs 50/16) se al soggetto è applicabile tale normativa.
I documenti di gara dovranno contenere precise indicazioni sulla selezione in modo che il contratto sia aggiudicato ad un soggetto effettivamente dotato dei requisiti di cui si è dianzi detto e dovrà altresì essere attentamente predisposto il contenuto del contratto che verrà sottoscritto dall’aggiudicatario in modo da regolamentare tutti gli aspetti previsti dalla normativa e da definire gli ambiti di responsabilità.
4. Compiti
Il RPD è, innanzi tutto, la figura di riferimento in materia di protezione di dati personali sia all’interno dell’azienda che all’esterno (16).
Nel primo caso è il soggetto che deve essere coinvolto per qualsiasi questione inerente la privacy ed a tal fine dovrà essere invitato alle riunioni di management, dovrà partecipare alle decisioni che impattano sulla protezione dei dati e dovrà essere tempestivamente consultato ogni qual volta si verifichino violazioni dei dati.
Il RPD deve essere un punto di riferimento anche per i dipendenti e collaboratori del titolare (o responsabile) e per tale motivo, in termini di buone prassi, il nominativo ed i dati del RPD dovrebbero essere comunicati ai dipendenti.
All’esterno il RPD dovrà, invece, essere il punto di riferimento per gli interessati (che potranno contattarlo per tutte le questioni relative al trattamento dei loro dati e all’esercizio dei loro diritti) nonché per il Garante. I suoi dati di contatto dovranno essere pubblicati. Tali dati dovranno essere in particolare indicati nelle informative (art. 13 e 14 RGPD) nel registro dei trattamenti (art. 30 RGPD) e nelle notifiche di data breach (art. 33 RGPD).
Relativamente ai rapporti con il Garante, il Regolamento prevede che il Responsabile della protezione dei dati debba cooperare con esso e fungere da punto di contatto con lo stesso.
Da un lato sarà quindi un “facilitatore” nei rapporti con il Garante, in particolare nell’esecuzione dei compiti e per l’esercizio dei poteri di cui all’art. 57 e 58 del Regolamento, ma dall’altro, potrà anche rivolgersi alla Autorità per qualsiasi questione (17).
Il compito principale del RPD è comunque, in generale, la sorveglianza dell’osservanza del RGPD.
Esso si pone, dunque, come supervisore dell’attività del titolare (o responsabile) e in tale veste deve vigilare sulla attribuzione delle responsabilità, sulla sensibilizzazione e sulla formazione del personale oltre ad effettuare le relative attività di controllo (18).
Il RPD deve, poi, partecipare alla valutazione d’impatto (Data Protection Impact Assessement - DPIA) (19) attraverso la redazione di un parere. Secondo il WP29 la partecipazione dovrebbe riguardare la scelta se condurre una DPIA, quale metodologia adottare, se condurre la valutazione con risorse interne o se esternalizzarla, quali salvaguardie applicare per attenuare i rischi per i diritti e gli interessi delle persone interessate e, infine, la verifica se la DPIA è stata condotta correttamente e se i risultati sono conformi al Regolamento.
Occorre evidenziare che l’art. 39 del Regolamento detta un elenco di compiti “minimi” che devono essere svolti dal RPD, con la conseguenza che il titolare o il responsabile del trattamento possono affidare allo stesso compiti ulteriori, quali ad esempio la tenuta del registro dei trattamenti, ex art. 30 RGPD (20).
Quanto alle modalità dello svolgimento dei propri compiti, il Regolamento precisa che il RPD deve avere un approccio risk based, e deve dunque agire sulla base delle priorità effettive che si presentano “tenendo conto della natura, la portata, il contesto e le finalità del trattamento” (21).
5. Risorse
Affinché il RPD sia in grado svolgere il proprio lavoro, il titolare (o responsabile) del trattamento deve garantirgli tutte le risorse all’uopo necessarie.
Per <risorse> si devono intendere non soltanto risorse di tipo economico, ma altresì infrastrutture, personale, nonché la disponibilità del tempo necessario per lo svolgimento dei propri compiti.
Sotto tale ultimo punto di vista, il titolare (o responsabile) dovrà valutare, ad esempio, se nominare come responsabile un lavoratore con contratto part-time o al quale siano assegnati altri compiti, oppure, nel caso di affidamento all’esterno dell’incarico, dovrà contrattualmente prevedere che il soggetto dedichi alla attività di responsabile di protezione dei dati un tempo ragionevole e adeguato alle concrete esigenze.
Le risorse necessarie, ovviamente, cambieranno a seconda della dimensione dell’azienda e del tipo di trattamento di dati che la stessa effettua.
Il titolare (o responsabile) dovrà, dunque, valutare l’attività da svolgere ed assegnare in base a questa valutazione le risorse necessarie.
6. Responsabilità e sanzioni
Per comprendere l’importanza del ruolo del RPD non può prescindersi dal considerare le sanzioni applicabili in caso di violazione delle norme che lo disciplinano.
L’art. 83 del Regolamento, che prevede in generale le sanzioni amministrative pecuniarie per tutti i tipi di violazioni del regolamento, prevede per la violazione degli articoli 37-39 una sanzione fino a 10.000.000 euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.
L’inadempimento del titolare (o responsabile) potrà riguardare, in primo luogo, la mancata nomina del RPD quando sia obbligatorio.
Nei casi di incertezza sulla obbligatorietà della nomina appare, quindi, opportuno nominare il RPD o, comunque giustificare attentamente e esaustivamente la propria scelta di non procedere alla nomina, conservandone la relativa documentazione (22).
Ma il titolare o il responsabile del trattamento saranno sanzionabili non soltanto in caso di mancata nomina del RPD ma altresì in ogni caso di inosservanza della normativa di cui agli articoli 37-39 del Regolamento.
Ciò significa che la sanzione potrebbe essere applicata anche nel caso in cui il RPD non abbia le competenze prescritte dal regolamento. Il titolare (o responsabile) dovrà allora essere in grado di documentare di aver proceduto ad una selezione del soggetto incaricato seria ed approfondita.
Inoltre, il titolare (o responsabile) dovrà altresì essere in grado di dimostrare di aver messo in atto tutte le azioni necessarie per consentire al RPD di essere nelle condizioni di poter concretamente operare, garantendogli la indipendenza ed autonomia necessarie e fornendogli tutte le risorse necessarie.
Si ricorda che il Regolamento sarà applicabile a partire dal 25 maggio 2018. Per quella data, dunque, il titolare ed il responsabile del trattamento dovranno aver predisposto tutte le misure necessarie per essere compliant rispetto alle nuove prescrizioni.
7. Conclusioni
In un contesto storico di grandi mutamenti politici, sociali e soprattutto tecnologici che ineluttabilmente sta portando alla digitalizzazione e alla “apertura” della pubblica amministrazione, per affrontare e superare le nuove sfide che si presentano i soggetti pubblici dovrebbero porsi con un approccio proattivo e innovativo.
L’obbligo di nomina del Responsabile della Protezione dei Dati non dovrebbe, allora, essere considerato come un ulteriore aggravio dell’azione amministrativa e come un mero adempimento necessario per non incorrere nelle sanzioni di cui si è detto, ma si dovrebbe tentare di coglierne le potenzialità sia in termini di sviluppo dell’efficienza sia in termini di accrescimento della fiducia dei cittadini.
Tale nomina dovrebbe essere un tassello di un processo di ristrutturazione dell’apparato amministrativo che porti, come si è precedentemente accennato, ad un indefettibile coordinamento di risorse e di funzioni.
In tale ottica, quindi, il RPD, quale figura preparata ed esperta, dovrebbe essere in grado, per le questioni di competenza, di orientare il soggetto pubblico nei suoi processi decisionali nel coacervo di norme e di nuovi adempimenti anche nell’ottica di garantire il bilanciamento dei diversi interessi pubblici.
***
NOTE
|
Home
