Il Garante per la protezione dei dati personali, a tre anni dalla diretta applicazione del regolamento europeo, fornisce importanti chiarimenti su designazione, posizione e compiti del RPD in risposta a quesiti ricevuti da diversi enti pubblici e alla luce dell’attività ispettiva svolta.
Il Garante Privacy approfondisce il ruolo e i compiti del Data protection Officer DPO nelle amministrazioni pubbliche attraverso un documento di indirizzo adottato ai sensi dell’articolo 57 del GDPR nell’ottica di promuovere la consapevolezza degli operatori. Le linee di indirizzo recepiscono le precedenti FAQ sul RPD in ambito pubblico del 2017 e si rivolgono sia ai titolari del trattamento e sia agli stessi RPD. Il documento conferma il ruolo fondamentale del RPD come punto di contatto per l’Autorità e come funzione di alto livello a supporto del Titolare con compiti consultivi e di controllo. Le amministrazioni devono trovare, in coerenza con il principio di accountability, risposte in materia di protezione dei dati personali al proprio interno attraverso il prezioso supporto del RPD. Le amministrazioni sono tenute a pubblicare i dati di contatto del responsabile per la protezione dei dati personali sul sito e a comunicare gli stessi all’Autorità di controllo. Le linee guida richiamano l’attenzione sull’importanza di comunicare all’autorità attraverso la specifica procedura on line i dati di contatto aggiornati del RPD al fine di agevolare l’attività istruttoria e consentire il tempestivo accertamento della conformità dei trattamenti svolti dalle amministrazioni. Il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione. Le eventuali richieste di informazioni da parte del Garante saranno tendenzialmente trasmesse anche al RPD anche se l’onere di fornire riscontro e la conseguente responsabilità dell’eventuale inadempimento resta in capo al Titolare. Il Garante invita le amministrazioni a interpellare il proprio RPD per le questioni relative ai trattamenti di dati. Le linee guida sottolineano come il Garante non sia dotato di compiti consultivi, qualora l’ente pubblico ritenesse di doversi rivolgere all’Autorità per un quesito, viene suggerito di acquisire prima il parere del RPD e di trasmettere la richiesta di parere per il tramite dello stesso. L’autorità sottolinea come la violazione degli obblighi stabiliti dal Regolamento in materia di RPD in particolare, articolo 37-39 , una volta accertata, comporta l’applicazione dei poteri correttivi previsti dall’articolo 58, par. 2, del Regolamento nei confronti di titolari e responsabili del trattamento, compreso il potere di infliggere una sanzione pecuniaria ai sensi dell’articolo 83 del medesimo Regolamento. In riferimento alle qualità professionali e possesso di titoli del RPD, il Garante evidenzia come lo stesso deve conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati a partire da un’approfondita conoscenza del Regolamento , nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore. Il Garante osserva come nella definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale RPD, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura ritenuta necessaria. L’ente deve tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto le qualità professionali di cui all’articolo 37, par. 5, del Regolamento e la complessità del compito da svolgere nel caso concreto come il contesto in cui il RPD sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante . Il Garante specifica che la conoscenza di norme e prassi in materia di protezione dei dati personali può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze . Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica. Il documento esamina le questioni attinenti alla designazione del RPD, le amministrazioni devono indicare nel contratto di servizi anche le motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall'articolo 37, par. 5 del Regolamento, anche mediante rinvio agli esiti delle procedure di selezione. La specificazione dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability. Nel documento sono indicate alcune misure finalizzate a garantire l’azione efficace del RPD gli enti pubblici, nel momento in cui decidono di affidare l’incarico di RPD a un soggetto esterno alla propria struttura, al fine di prevenire la possibilità di ricevere una assistenza inadeguata, dovrebbero poter tenere in considerazione, ad i seguenti elementi a il numero di incarichi già ricoperti dalla società o dal professionista al quale si intende affidare l’incarico b l’eventuale specializzazione in ragione delle particolari tipologie di trattamenti effettuati dai soggetti per i quali tale soggetto svolge il ruolo di RPD ad esempio, il fatto che si tratti prevalentemente di Comuni, o di Istituti scolastici, o di Aziende sanitarie, o di società commerciali, ecc. c in caso di società, la disponibilità di adeguate risorse a sostegno del referente persona fisica, compresa la possibilità di ricorrere, se del caso, a collaboratori in possesso di particolari competenze cfr. par. 9 . Le indicazioni di cui sopra non hanno valore assoluto ma costituiscono, nel loro complesso, elementi di valutazione da tenere in attenta considerazione in fase di selezione. Il Garante sottolinea l’opportunità delle pubbliche amministrazioni di individuare, al proprio interno, una figura di riferimento per il RPD esterno, con il quale quest’ultimo possa interloquire con costanza, al fine di consentirgli una più rapida e completa acquisizione di tutti gli elementi di contesto necessari per lo svolgimento dei suoi compiti e per facilitargli l’interazione con le strutture interne dell’ente. Nel caso in cui il soggetto individuato quale RPD sia una persona giuridica, questa deve indicare, a sua volta, il referente persona fisica a questo proposito, è opportuno che essa sia indicata, già in fase di procedura di selezione e in ciascuno degli atti summenzionati, e che ogni variazione che dovesse riguardare quest’ultima sia coerentemente riportata negli stessi e comunicata all’Autorità mediante l’apposita procedura disponibile sul sito del Garante cfr. par. 7 . Il referente persona fisica indicato dalla persona giuridica non deve, a differenza di quanto emerso in un primo orientamento del Tar, necessariamente essere un suo dipendente, e quindi non deve obbligatoriamente trovarsi in un rapporto di subordinazione, a nulla rilevando, ai fini dell’applicazione del Regolamento, il tipo di rapporto che lega la persona giuridica designata con il referente persona fisica. Il Garante specifica che deve, in ogni caso, sussistere un rapporto giuridico che fornisca prova della sussistenza di un legame valido, efficace e stabile e legittimi tale indicazione nei confronti dell’ente pubblico aggiudicante. Il Garante esamina nel documento anche il profilo della durata dell’incarico e sul principio di rotazione. La durata del contratto di servizi deve tendenzialmente essere tale da consentire al RPD di poter impostare, in un periodo non breve, le attività necessarie per rendere conformi al Regolamento i trattamenti effettuati dal titolare che lo ha incaricato. Spetta ovviamente a ciascun ente pubblico valutare la congruità della durata rispetto alle caratteristiche dell’amministrazione dimensioni, risorse a disposizione, ecc. e a quelle dei trattamenti svolti complessità, qualità e quantità dei dati personali trattati, ecc. ma, in linea di massima, l Garante ritiene che un periodo congruo per la durata dell’incarico possa essere stimato intorno ai tre anni, al fine di dare al RPD il tempo necessario per poter conoscere adeguatamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati Il Garante richiama l’attenzione degli enti a quanto sostenuto dall’Autorità nazionale anticorruzione, a fini di rispetto della disciplina in materia di contratti pubblici, sulla necessità che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie debba avvenire nel rispetto del principio di rotazione. Il documento esamina anche il profilo della remunerazione e sottolinea come il Garante abbia avuto segnalazioni di affidamenti all’esterno del servizio di RPD con compensi estremamente bassi, nell’ordine di poche centinaia di euro. Secondo il Garante l’eccessivo abbassamento della remunerazione per la fornitura del servizio di RPD comporta un duplice effetto negativo da una parte, quello di consentire l’aggiudicazione in favore di candidati che, nonostante quanto previsto dall’articolo 37, par. 5, del Regolamento, non abbiano una formazione specifica idonea allo svolgimento dei delicati compiti che spettano al RPD dall’altra, quello di spingere i soggetti affidatari, per conseguire una remunerazione adeguata, ad accumulare un elevato numero di incarichi, con la conseguenza di non riuscire ad offrire un servizio efficace a ciascuno dei propri clienti . Il Garante richiama l’attenzione degli enti pubblici sulla necessità di effettuare valutazioni di congruità della cifra da stabilire come remunerazione, al fine di investire un RPD che svolga i propri compiti in maniera efficace. Il Garante richiama l’orientamento del Cons. di Stato, Ad. Plenumero , Sent. numero 8 del 21.5.2019 nell’ambito della generale facoltà discrezionale nella scelta del criterio di aggiudicazione, a sua volta insita nell’esigenza di rimettere all’amministrazione la definizione delle modalità con cui soddisfare nel miglior modo interesse pubblico sotteso al contratto da affidare, le stazioni appaltanti sono nondimeno vincolate alla preferenza accordata dalla legge a criteri di selezione che abbiano riguardo non solo all’elemento prezzo, ma anche ad aspetti di carattere qualitativo delle offerte” Le pubbliche amministrazioni dovranno contemperare in maniera congrua e proporzionata le esigenze di razionalizzazione della spesa con quelle di acquisizione delle competenze adeguate per lo svolgimento dei compiti connessi alla migliore realizzazione degli obiettivi posti dalla disciplina europea a tutela dei diritti e delle libertà fondamentali degli interessati. Il documento approfondisce il profilo critico del mancato coinvolgimento da parte del titolare e svolgimento dei compiti da parte del RPD. In base alle risultanze fornite dall’attività ispettiva espletata dall’Autorità, ma anche dalle segnalazioni ricevute, si è riscontrato che tale atteggiamento può essere imputabile a entrambe le parti al RPD, in quanto spesso portato a non proporre adeguatamente al titolare le attività necessarie per conformare i trattamenti alla disciplina in materia di protezione dei dati personali all’ente pubblico, per la tendenza a considerare la nomina del RPD solo come un adempimento formale, non riconoscendo e tantomeno valorizzando i compiti e le potenzialità di questa figura. Il documento ha il pregio di raccogliere alcune buone pratiche al fine di rendere effettivo il coinvolgimento del RPD, buone pratiche emerse nel corso di indagini del Garante, quali - l’individuazione, all’interno dell’amministrazione, di una figura, adeguata per posizione e competenze, che funga da punto di riferimento per il RPD, con il quale quest’ultimo possa interloquire costantemente, al fine di ricevere gli elementi richiesti per lo svolgimento dei propri compiti, oltre che facilitare il dialogo con il vertice amministrativo - la condivisione di un’agenda attraverso la quale fissare momenti di dialogo con una congrua periodicità - la proposta, da parte del RPD al titolare, di attività da svolgere per migliorare la gestione dei trattamenti sul piano della conformità alla disciplina di settore, da effettuarsi sia al momento dell’assunzione dell’incarico che, periodicamente, in corso di esecuzione dello stesso. Il documento conferma pertanto, che il ruolo di RPD è di supporto al titolare/responsabile e di controllo, ma non può da questo essere delegato rispetto a compiti esecutivi e connesse responsabilità che, nell’ottica del principio di accountability, che spettano proprio al titolare o al responsabile . Il Garante ribadisce come non devono essere invece assegnati al RPD compiti che spettano al titolare del trattamento e che esulano dalle attività di consulenza, sorveglianza e, più in generale, consultazione, stabilite dall’articolo 39 del Regolamento – nonché, eventualmente, di tenuta del registro delle attività di trattamento di cui all’articolo 30 del Regolamento cfr. le Linee guida del WP29, par. 4.5, pp. 24-25 . Si tratta di una importante osservazione utile a guidare e ad accompagnare le amministrazioni che troppo sovente delegano al RPD a svolgere compiti esecutivi e gestionali in prima persona con confusione di ruoli. Un aspetto molto positivo del documento è il richiamo del Garante all’importanza dei tavoli di lavoro comuni tra RPD o reti di RPD, ove possano essere individuate soluzioni condivise anche attraverso l’analisi di problematiche comuni. Il Garante cita, in questo ambito, come best practice, le iniziative già avviate come, ad esempio, le reti di RPD istituite nei settori della ricerca pubblica, della fiscalità o della sanità, ma anche a livello di Ministeri, Autorità indipendenti o su base regionale. I tavoli di lavoro hanno il pregio, secondo il Garante, di favorire la sensibilizzazione dei titolari/responsabili sulle questioni di protezione dei dati personali, in un contesto di sempre maggiore sviluppo verso la digitalizzazione della pubblica amministrazione e dei suoi servizi. Uno degli aspetti più interessanti del documento è l’attenzione del Garante al profilo delle risorse messe a disposizione di un gruppo di collaboratori team del DPO . Il Garante osserva come nelle grandi strutture pubbliche, la persona individuata quale RPD, da sola, difficilmente può essere in grado di assolvere ai propri compiti in maniera efficace e qualitativamente adeguata. Il Garante a riguardo indica alcune misure come già richiamato nelle Linee guida del WP29 e nelle precedenti FAQ del Garante, in rapporto alle dimensioni e alla complessità dei trattamenti effettuati, la costituzione di un apposito gruppo di persone team a supporto del RPD, al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. A questo fine, un valore aggiunto potrebbe essere dato dalla scelta di destinare, a questo team, personale in possesso di competenze diversificate come, ad esempio, soggetti dal profilo più strettamente giuridico e amministrativo, e soggetti esperti in ambito IT.Inoltre, anche in aggiunta alla costituzione del team di collaboratori, in amministrazioni grandi, potrebbe risultare anche opportuno individuare specifici referenti del RPD all’interno delle varie articolazioni dell’ente, che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD, anche, se del caso, operando quali componenti del suo gruppo di lavoro. Il documento approfondisce anche il profilo dell’incompatibilità con altri incarichi e conflitto di interesse. L’Autorità osserva di avere riscontrato numerose situazioni in cui viene nominato, quale RPD, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività di RPD con la necessaria indipendenza. Il documento richiama a riguardo la buona prassi prevista dalle linee guida WP29 -come individuare preventivamente le qualifiche e funzioni che sarebbero incompatibili con quella di RPD e redigere regole interne onde evitare conflitti di interessi. Il documento cita alcuni orientamenti di interesse dei Garanti per la protezione dei dati personali in materia di incompatibilità peraltro, altre Autorità europee si sono già pronunciate espressamente in proposito invero con riferimento all’ambito privato , sancendo l’incompatibilità tra la figura di RPD e quella di responsabile IT provv. dell’Autorità bavarese del 20 ottobre 2016 o quella di dirigente dei dipartimenti che si occupano di conformità normativa, della gestione del rischio e di audit interni provv. dell’Autorità belga numero 18/2020 del 28 aprile 2020 Il Garante esamina il caso di accumulo di incarichi ulteriori da parte del RPD e osserva come nel caso in esame, l’ente deve tenere nella dovuta considerazione il fatto che tale situazione inficia la capacità del medesimo di assolvere efficacemente ai compiti assegnatigli dal Regolamento. L’amministrazione, pertanto, dovrebbe valutare, in relazione alla complessità della struttura organizzativa, alla disponibilità di risorse, alla numerosità e delicatezza dei trattamenti svolti, alla quantità e qualità di dati personali trattati, di affidare l’incarico di RPD a una persona che possa dedicarvisi tendenzialmente a tempo pieno. Il documento approfondisce il profilo dell’incompatibilità anche con riferimento al RPD di provenienza esterna, qualora quest’ultimo sia assoggettato alle istruzioni impartite dal titolare del trattamento ad esempio, perché sia stato da quest’ultimo designato quale responsabile del trattamento ai sensi dell’articolo 28 del Regolamento per la fornitura di un determinato servizio, ovvero perché lo rappresenti in giudizio su problematiche in materia di protezione dei dati personali e individua specifiche possibili misure. Il Garante richiama l’attenzione sull’obbligo in ottica di accountability di documentare le scelte effettuate in materia di conflitti di interessi e incompatibilità. Il RPD costituisce una funzione strategica per la tutela dei diritti, un presidio per l’applicazione dei principi privacy by design e by default con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari ad esempio, ai sensi degli articolo 82 e 83 del Regolamento . Il documento in esame è importante alla luce delle complesse sfide del settore pubbliche nell’attuale scenario di transizione digitale nella cornice del Piano nazionale di ripresa e resilienza. Il documento rappresenta un primo passo di un percorso di valorizzazione del ruolo del DPO all’interno delle amministrazioni pubbliche, come indicato recentemente dal ministro per l’innovazione tecnologica e la transizione digitale «Non c’è vera innovazione senza profonde competenze. Mancando queste, gli investimenti non possono decollare, la modernizzazione della Pubblica Amministrazione rimarrà al palo e il sistema educativo non potrà diventare un motore di promozione sociale». Sarebbe auspicabile da parte dell’autorità un approfondimento o la pubblicazione di Faq anche sulle attività formative presidiate dal DPO , sull’attività di controllo, sulle relative responsabilità anche alla luce dell’evoluzione della giurisprudenza in materia di danno erariale causato dalle violazioni in materia di protezione dei dati personali.
GarantePrivacy_provv_186_2021