Nuove FAQ sul DPO (Data Protection Officer) in ambito pubblico
1. Quali sono gli enti tenuti alla designazione del DPO, ai sensi dell’art. 37, par. 1, lett. a) del RGPD?
In ambito pubblico, le Linee Guida hanno chiarito che deve farsi riferimento alla normativa nazionale e devono, pertanto, ritenersi tenuti alla designazione di un DPO le Amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc. e tutti i soggetti a cui oggi si applicano gli artt da 18 e 22 del Codice Privacy.
Nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), è fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria
2. Nel caso in cui il DPO sia un lavoratore subordinato dell’autorità pubblica, quale qualifica deve avere?
Confermato che non può rivestire compiti di DPO un dirigente avente un ruolo apicale strettamente connesso con le scelte strategico/decisionali dell’ente o, nei comuni, il Segretario comunale, occorre anzitutto garantire che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di compiti a lui attribuiti”.
Il considerando 97 del Reg. eu. evidenzia che i DPO “dipendenti o meno del titolare del trattamento, devono poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
E’ consigliabile, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, che la designazione del DPO sia conferita ad un dirigente per ciò solo nominato o sia conferito l’incarico esternamente, in modo che questi possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
3. Con quale atto formale deve essere designato il DPO?
Nel caso in cui la scelta del DPO ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD.
In ogni caso, è necessario che nell’atto sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD), le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, nonché, le motivazioni che hanno indotto l’ente ad individuare, la persona fisica selezionata come DPO.
Una volta individuato, i dati di contatto del DPO dovranno essere indicati nell’informativa fornita agli interessati, sui siti web, anche nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.
Se la funzione di DPO è svolta da un fornitore esterno di servizi, i relativi compiti potranno essere assolti efficacemente da un team operante sotto l’autorità di un contatto principale designato e “responsabile” per il singolo cliente. In particolare, «per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti il team DPO, si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team DPO e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi.
4. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un DPO?
Si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.
Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.
5. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un DPO e le possibili situazioni di conflitto?
È ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, vengano assegnate al DPO ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl).
In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di DPO al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti che il RGPD attribuisce al DPO.
Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
