Il Garante italiano è intervenuto nuovamente sulla figura del Responsabili per la protezione dei dati (“RPD”) o Data Protection Officer (“DPO”).
Nonostante siano passati tre anni dall’entrata in vigore del Regolamento Ue, si registrano, da parte del Garante, ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico. Viceversa, si tratta di una figura fondamentale in quando l’RPD costituisce un riferimento essenziale per la corretta applicazione della normativa e del principio di accountability.
In tale contesto il Garante ha emanato un provvedimento rivolto alla Pubblica Amministrazione ed è intervenuto aggiornando le FAQ riguardanti il settore privato.
Il Garante individua tre macro-argomenti: la designazione del RPD, i suoi compiti e le sue qualità professionali e le incompatibilità con altre cariche ed i conflitti di interessi.
Sulla designazione, il Garante ha specificato in quali caso la designazione è obbligatoria in relazione a soggetti privati che esercitano comunque compiti di interesse pubblico.
Viceversa, sulle qualità professionali del DPO, si ricorda che l’articolo 37 GDPR prevede che il DPO abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all’articolo 39.
Il Garante, quindi, ha precisato che la prassi di richiedere per l’assunzione di ruolo di DPO la laurea in giurisprudenza e l’iscrizione ad un determinato albo, oltre a particolari certificazioni non sono requisiti richiesti dal Regolamento e il loro possesso non equivale a un’abilitazione allo svolgimento del ruolo, né può sostituire l’analisi dei requisiti per lo svolgimento dei compiti.
Quindi, per valutare le qualità di un candidato DPO occorre valutare, al di là del titolo di studio:
- l’esperienza professionale attraverso la partecipazione ad attività formative specialistiche,
- le esperienze lavorative e professionali svolte risultanti, ad esempio, dal curriculum, e le autocertificazioni presentate.
Infine, il tema dei conflitti di interesse e delle incompatibilità, forse il più delicato da affrontare.
Come noto l’art. 38, par. 6 prevede che “il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.
Tuttavia, non sempre è agevole evitare i casi in cui possano configurarsi dei conflitti d’interesse. Infatti, lo stesso Garante ha riscontrato numerose situazioni in cui il soggetto nominato RPD svolgeva altri compiti incompatibili o in conflitto di interessi, in quanto tali ulteriori incarichi impedivano di svolgere la propria attività di RPD con la necessaria indipendenza.
Nelle Linee guida WP243 e nelle FAQ del Garante sono state già indicate situazioni di conflitto di interessi in relazione a ruoli manageriali di vertice come quelli, tra gli altri, di responsabile finanziario, di direttore delle risorse umane, o di responsabile dei Sistemi informativi. Le stesse Linee guida specificano che la valutazione dovrà essere fatta caso per caso ovviamente e che solo l’esame concreto di ciascuna realtà da parte del titolare del trattamento potrà condurre ad una valutazione definitiva sulla sussistenza o meno di cause di incompatibilità.
Il Garante torna sul tema, ribadendo che gli incarichi indicati nelle Linee Guida sono incompatibili con la funzione di RPD e ritenendo che l’incompatibilità interviene – tra gli altri casi – quando il RPD riveste incarichi quali quello di componente di un organismo collegiale (ad esempio, un comitato direttivo o un collegio disciplinare) o di titolare di un incarico monocratico dotato di poteri decisionali (es. vicepresidente). In caso di DPO esterno il Garante consiglia di non designare, quale RPD, soggetti a cui l’amministrazione affida un trattamento per suo conto, con conseguente necessità di definizione di un rapporto titolare-responsabile ex art. 28 GDPR.
Interessanti sono anche le considerazioni in caso del RPD esterno che rappresenti in giudizio l’amministrazione. Infatti, sono tutt’altro che rari i casi in cui una PA, a seguito di azione giudiziaria promossa da un cittadino, si sia costituita in giudizio per il tramite di un avvocato che, contemporaneamente, svolgeva l’incarico di RPD per conto dell’ente. Le Linee guida e le FAQ del Garante già prevedono la possibilità concreta che insorga un conflitto di interessi se, ad un RPD esterno, si chieda di rappresentare il titolare del trattamento in un giudizio vertente su problematiche di protezione dei dati. A questo proposito, il Garante richiama l’attenzione degli enti pubblici sulla difficoltà di prevedere a priori che una vertenza giudiziaria non possa coinvolgere anche profili di protezione dei dati personali. A ciò si aggiunga che, un interessato dal trattamento che voglia rivolgersi ad un RPD che sia contemporaneamente anche il difensore in giudizio dell’ente, possa legittimamente dubitare della sua indipendenza. Pertanto, a prescindere dalla circostanza che il giudizio coinvolga o meno questioni di protezione dei dati personali, il Garante invita espressamente tutte le pubbliche amministrazioni a non designare un RPD che, contemporaneamente, svolga per le medesime il ruolo di difensore in giudizio e viceversa.
In tema di conflitto di interessi e incompatibilità è interessante la posizione del Garante per i DPO in ambito privato. Nelle FAQ, aggiornate sempre nel mese di maggio, è incompatibile con il ruolo di RPD un soggetto interno all’organizzazione che abbia incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto, potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi.