Responsabile protezione dati: il documento di indirizzo del Garante della Privacy - Riskmanagement

Privacy

Responsabile protezione dati: il documento di indirizzo del Garante della Privacy

Ecco un estratto degli interrogativi a cui ha dato risposta l’Autorità di garanzia con il provvedimento n.186 del 29 aprile 2021

20 Lug 2021

Simona Loprete

esperta in privacy

Il Garante per la protezione dei dati personali con il provvedimento n. 186 del 29 aprile 2021 ha adottato il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico al fine di sciogliere alcuni dubbi portati alla sua attenzione, nel corso degli ultimi tre anni, relativi alla figura del RDP che opera nelle amministrazioni pubbliche.

L’Autorità, in particolare, con l’avvento del Regolamento (UE) 2016/679 (“GDPR”), ha registrato significative problematicità circa il reale coinvolgimento e apporto del RPD ai Titolari del trattamento in ambito pubblico nonostante il proprio impegno nel sottolineare l’importanza di tale ruolo tramite incontri di carattere divulgativo, eventi formativi e la pubblicazione delle FAQ del 15 dicembre 2017 sul medesimo tema.

Il suddetto documento si propone, pertanto, di superare ogni incertezza sul tema del Responsabile protezione dati in ambito pubblico (il quale rappresenta uno snodo fondamentale per l’acquisizione di un corretto approccio al trattamento dei dati personali, soprattutto in un contesto come quello attuale che vede impegnate le pubbliche amministrazioni in un complesso processo di trasformazione digitale) e di rendere effettivo un incarico di tale portata.

Il Garante, dopo una breve introduzione, inizia la propria trattazione con una considerazione preliminare sulla funzione del RPD che viene descritto ai sensi dell’articolo 39 del GDPR quale punto di contatto per l’Autorità stessa. In fase di indagine, infatti, il Garante si avvale del supporto del RPD per acquisire con maggiore facilità tutti gli elementi necessari all’istruttoria in quanto il RDP costituisce il soggetto più qualificato a individuare la documentazione e le informazioni corrette e pertinenti da fornire per un agevole e tempestivo accertamento da parte dell’Autorità sulla conformità dei trattamenti. In quest’ottica divengono, dunque, essenziali due aspetti: la comunicazione tempestiva al Garante dei dati di contatto esatti e aggiornati del RPD ed il coinvolgimento sistematico di quest’ultimo a tutte le questioni riguardanti la protezione dei dati personali.

Dopo tale premessa, l’Autorità poi passa ad esaminare le principali questioni emerse in tema di RPD in ambito pubblico:

I soggetti privati che esercitano funzioni pubbliche sono obbligati a designare un RPD?

Il Garante affronta immediatamente la tematica dell’obbligatorietà della nomina del RPD per il settore pubblico, confermando in primis quanto disposto ai sensi dell’articolo 37, paragrafo 1, lettera a) del GDPR (che stabilisce in maniera inequivocabile l’obbligo di designazione per le autorità pubbliche o gli organismi pubblici) e rispondendo all’interrogativo relativo alla designazione obbligatoria o meno del RDP ai sensi delle lettere b) (monitoraggio regolare e sistematico degli interessati su larga scala) o c) del suddetto articolo (trattamento, su larga scala, di categorie particolari di dati personali) da parte di soggetti privati che esercitano comunque compiti di interesse pubblico.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Rispetto ai soggetti privati che esercitano funzioni pubbliche, il Garante si è espresso nei seguenti termini: la designazione del RPD è obbligatoria se sussistono gli elementi di cui alle lettere b) e c) dell’articolo 35, paragrafo 1 del GDPR; tuttavia, anche in assenza dei suddetti requisiti, è fortemente raccomandato nominare un RPD in considerazione del fatto che le attività di trattamento svolte dai soggetti privati che esercitano funzioni pubbliche sono assimilabili a quelle effettuate da soggetti propriamente pubblici.

Di seguito un elenco riassuntivo dei soggetti obbligati a designare un RPD, contenente anche i principali casi esaminati dal Garante con riferimento ai soggetti privati che esercitano funzioni pubbliche:

Tutti i soggetti pubblici:

  • amministrazioni dello Stato compresi gli istituti scolastici;
  • enti pubblici non economici nazionali, regionali e locali;
  • regioni ed Enti locali;
  • università;
  • camere di commercio, industria, artigianato e agricoltura;
  • aziende del Servizio Sanitario Nazionale;
  • autorità indipendenti

Soggetti privati che esercitano funzioni pubbliche (in costanza dei requisiti delle lettere b) o c) dell’articolo 37, paragrafo 1, del GDPR):

  • società concessionarie dei servizi di trasporto pubblico locale (con trattamento su larga scala dei dati di dipendenti e utenti e monitoraggio regolare o sistematico. In questo esempio, peraltro, la società tratta categorie di dati personali particolari potendo avere tra i propri utenti minori o disabili)
  • società di gestione delle autolinee pubbliche (con trattamento su larga scala e/o monitoraggio sistematico)
  • società di raccolta dei rifiuti (con trattamento su larga scala e/o monitoraggio sistematico);
  • ospedali privati (trattamento di dati sulla salute su larga scala);
  • case di cura (trattamento di dati sulla salute su larga scala);
  • residenze sanitaria assistenziale (trattamento di dati sulla salute su larga scala).

Un’ultima precisazione del Garante riguarda l’unicità del RPD di cui può avvalersi un’amministrazione la quale, anche nel caso di strutture complesse, deve individuare un solo RPD in corrispondenza all’ente per evitare sovrapposizioni o incertezze sulla responsabilità.

Chi nominare nel periodo di vacatio tra la scadenza dell’incarico e l’affidamento a un nuovo RPD esterno?

Il Garante ha affrontato la questione della designazione di un RPD interno nelle more della conclusione del procedimento di affidamento dell’incarico a un RPD esterno, rilevando che l’amministrazione pubblica è tenuta a individuare un dirigente o un funzionario interno a cui attribuire temporaneamente questo ruolo, purché tale incaricato goda di tempo sufficiente per espletare la funzione di RPD e non si crei una situazione di conflitto di interessi con eventuali compiti già assegnati.

Come comportarsi in presenza di un RPD “in comune” tra più soggetti pubblici

La semplificazione di cui all’articolo 37 paragrafo 3 del GDPR che ammette la designazione di un unico RPD per più autorità pubbliche o organismi pubblici dalla ridotta struttura organizzativa e dimensione, sulla base dei riscontri del Garante, è stata ampiamente utilizzata. L’adozione di questa procedura però, sottolinea il Garante, deve essere sottoposta ad una attenta valutazione affinché sia consentito al RPD di assolvere adeguatamente ai propri compiti nei confronti di ciascun Titolare del trattamento, in particolare quando i trattamenti hanno ad oggetto dati personali di particolare delicatezza, magari anche su larga scala.

A tal proposito il Garante suggerisce di costituire un gruppo di collaboratori a sostegno del RPD in comune, di definire preventivamente la percentuale del tempo lavorativo del RPD in favore di ciascun Titolare del trattamento, di individuare per ogni Titolare del trattamento un referente con cui il RPD possa comunicare e, di accertare l’insussistenza di situazioni di incompatibilità e di chiedere al RPD per quanti altri Titolari del trattamento svolga la medesima funzione.

Un altro aspetto da tenere in considerazione nell’eventualità di un unico RPD selezionato da più Titolari del trattamento riguarda l’obbligatorietà per ciascun Titolare di pubblicare e comunicare i dati di contatto dell’RDP. Il Garante, infatti, evidenzia, come la prassi frequentemente adottata dall’Unione di Comuni che effettuava la comunicazione da sola (anziché da parte di ciascun singolo Comune che la compone) non è conforme al disposto dell’articolo 37, paragrafo 7, del GDPR. Il Garante precisa, infine, che il soggetto associativo (nell’esempio, l’Unione dei Comuni) che, quale soggetto autonomo, può essere Titolare di trattamenti di dati personali è tenuto a designare un proprio RPD e a svolgere i medesimi adempimenti.

Quali titoli e qualità professionali deve possedere il RDP

In ambito pubblico è emersa la consuetudine di selezionare un RDP sulla base di tre requisiti (laurea in giurisprudenza; iscrizione all’albo degli avvocati e certificazioni volontarie) che a parere del Garante possono essere riduttivi e, in alcuni casi, sproporzionati e discriminatori nei confronti di alcuni candidati, per esempio, privi di titoli ma ugualmente esperti in materia. Di primaria importanza risulta piuttosto la valutazione delle reali qualità professionali, della concreta conoscenza ed esperienza in materia in materia di protezione dei dati personali ma anche in procedure amministrative data la necessità di una corretta applicazione delle regole previste per ogni settore. Per quanto concerne la conoscenza della materia, il Garante precisa che essa può essere dimostrata attraverso una documentata esperienza professionale e/o la partecipazione ad attività formative specialistiche e che può essere utile alla valutazione del candidato la certificazione volontaria UNI 11697.

In che modo designare un RPD esterno

Il Garante ha notato come in fase di designazione di un RDP esterno, in particolare quando esso è parte di una società che partecipa alla gara per l’assegnazione dell’incarico, la procedura di affidamento risulti macchinosa e poco chiara anche circa i ruoli assunti dai soggetti coinvolti. In particolare, alcune istruttorie condotte dall’Autorità hanno rilevato che:

  1. l’offerta per il servizio viene resa dalla società con l’indicazione della persona fisica da individuare come RPD;
  2. l’offerta, se accettata con apposita determinazione dell’ente, diviene contratto di servizio;
  3. l’atto di designazione avviene nei confronti della persona fisica indicata come RPD, ma utilizzando forme ambigue per definire il ruolo della società che aveva partecipato alla gara;
  4. l’amministrazione e la società formalizzano un accordo ai sensi dell’articolo 28 del GDPR per lo svolgimento di alcune attività di assistenza diretta o a supporto dell’RPD.

Un quadro così complesso ha indotto il Garante a fare chiarezza su diversi punti. Il primo, di natura generale è che nel caso di designazione di un RPD interno all’ente, occorre formalizzare la nomina con un apposito atto, mentre, nel caso in cui si faccia ricorso a soggetti esterni all’ente, la designazione, anche come allegato, costituisce parte integrante del contratto di servizi.

In secondo luogo si è evidenziato come a prescindere dall’atto utilizzato, è fondamentale indicare i dati e i compiti attribuiti alla persona fisica o giuridica che opera come RPD (mantenendo le clausole contrattuali aggiornate nel caso di assegnazione di nuovi compiti) e i criteri utilizzati nella scelta del RPD.

Infine, per gli enti pubblici, si rende necessario:

  1. indicare il medesimo soggetto (sia esso una persona fisica o giuridica) in tutti gli atti adottati nel processo di designazione del RPD (nella domanda di partecipazione alla selezione, nel contratto di servizio, nell’atto di designazione, nel sito web dell’ente e nella comunicazione all’Autorità insieme ai dati di contatto);
  2. se il RPD è una persona giuridica, indicare, sin dalla fase di selezione, i dati del referente persona fisica (che non deve essere necessariamente un suo dipendente), il possesso da parte dello stesso dei requisiti professionali di cui all’articolo 37, paragrafo 5 del GDPR, la garanzia che egli non rivesta già troppi incarichi ed il tipo di rapporto contrattuale intrattenuto;
  3. specificare chiaramente, anche all’interno dell’atto di designazione, eventuali figure di supporto al RPD che riceveranno istruzioni solo da quest’ultimo;
  4. evitare che coloro che forniscono servizi al Titolare del trattamento, in qualità di Responsabili del trattamento, svolgano compiti di RPD o di supporto al RPD;
  5. considerare il numero e la tipologia di incarichi ricoperti dalla società o dal professionista selezionato per l’incarico di RPD e nel caso di società, la disponibilità di risorse a sostegno del referente, al fine di ricevere un’assistenza adeguata;
  6. prevedere nel contratto di servizi, sempre nel rispetto del principio di rotazione, una durata congrua per l’incarico di RPD (generalmente, circa tre anni ed in ogni caso indipendentemente dalla durata del mandato di un organo direttivo dell’ente medesimo) al fine di consentire a quest’ultimo di conoscere adeguatamente l’organizzazione dell’ente e attuare in piena autonomia le misure necessarie a proteggere i diritti degli Interessati in conformità al GDPR;
  7. con riferimento alla remunerazione del RPD, contemperare le esigenze di razionalizzazione della spesa con quelle di acquisizione delle competenze adeguate per uno svolgimento efficace del ruolo da parte del RPD (la prassi di prevedere una remunerazione eccessivamente bassa condurrebbe a un duplice effetto negativo: l’aggiudicazione di candidati non adeguatamente e specificatamente formati e l’accettazione di un numero elevato di incarichi da parte dei RPD al fine di raggiungere una remunerazione adeguata).

responsabile protezione dati

Come instaurare un rapporto adeguato tra Titolare del trattamento e RPD

Le risultanze fornite dall’attività ispettiva e le segnalazioni ricevute in tema di esiguo coinvolgimento del RDP da parte del Titolare del trattamento e di atteggiamento poco propositivo da parte del RPD hanno condotto il Garante a formulare e suggerire alcune buone prassi al fine di superare il problema rilevato.

Tra queste si possono menzionare:

  1. l’individuazione, all’interno dell’amministrazione, di una figura che funga da punto di contatto tra RPD e Titolare del trattamento;
  2. la condivisione di un’agenda per programmare periodici appuntamenti di confronto;
  3. la proposta da parte del RPD di attività migliorative in termini di conformità alle normative (per esempio: documenti informativi per i dipendenti e i collaboratori dell’ente, misure tecniche e organizzative per innalzare il livello di protezione dei dati, procedure interne per la gestione di eventi particolari);
  4. la specifica, tra gli obblighi contrattuali, dei compiti riservati al RDP senza la previsione di penalizzazione o rimozione dall’incarico in caso di inadempimento;
  5. la rendicontazione dell’attività svolta;
  6. lo svolgimento di attività di formazione e aggiornamento a favore delle persone autorizzate al trattamento dei dati dall’ente;
  7. l’istituzione di tavoli di lavoro comuni e “reti di RPD” affinché i RPD che operano nello stesso settore possano affrontare insieme l’analisi di problematiche comuni.

Quando è opportuno costituire un team a supporto del Responsabile protezione dati

La valutazione dell’istituzione di un apposito gruppo di persone che possa aiutare il RPD nello svolgimento dei propri compiti dipende dall’entità dell’amministrazione e dovrebbe essere proporzionata alle dimensioni ed alla complessità dei trattamenti effettuati. Il Garante ha infatti notato come i Ministeri o altre amministrazioni centrali, oppure le Regioni o i Comuni capoluogo svolgono numerosi e complessi trattamenti che coinvolgono una elevata quantità di dati e che difficilmente sono gestibili in maniera qualitativamente adeguata da un solo RPD. In questi contesti risulta necessario scegliere un team di persone, preferibilmente in possesso di competenze diversificate, a supporto del RPD e individuare specifici referenti all’interno delle varie articolazioni dell’ente.

Quando sussiste incompatibilità con altri incarichi o conflitto di interessi

Una prima causa di incompatibilità all’incarico di Responsabile protezione dati si verifica quando un RPD interno ricopra già incarichi in cui si trovi a decidere circa le finalità e le modalità del trattamento dei dati come accade per un dirigente degli affari generali o un direttore amministrativo i cui ruoli generano inevitabilmente un conflitto di interessi.

Nelle Linee guida del WP29 e nelle FAQ del Garante erano state già indicate alcune situazioni di conflitto di interessi in relazione a ruoli manageriali di vertice come quelli di responsabile finanziario, direzione risorse umane, responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza trattandosi di settori in cui i trattamenti dei dati personali sono trasversali rispetto all’intera amministrazione. Tali tipologie di incarichi sono considerate evidentemente incompatibili con quello di RPD soprattutto nelle grandi amministrazioni che dispongono di risorse tali da potersi avvalere di un RDP a ciò esclusivamente dedicato.

Gli enti che invece presentano, in termini di dimensioni, risorse e organizzazione, difficoltà oggettive nel dotarsi di un RPD dedicato, dovranno effettuare una ponderazione ad hoc, mettendo a disposizione dell’Autorità le proprie valutazioni.

Una situazione diversa si presenta quando i soggetti incaricati partecipano a organismi collegiali, anche se di vertice, in quanto è possibile che la normativa contempli misure idonee a prevenire rischi di conflitti di interessi (come l’astensione dei componenti dalla discussione e dalla deliberazione).

Una seconda causa di incompatibilità si verifica quando si affida il compito di Responsabile protezione dati a un soggetto che già fornisce servizi IT al medesimo ente e che dunque riveste la qualifica di Responsabile del trattamento. L’esempio più eclatante si ha nel caso in cui il RPD coincida con il fornitore IT che fornisce all’amministrazione propri prodotti software non potendo così dare un giudizio in maniera imparziale.

Alla regola di non designare quale RPD un fornitore a cui sono affidati trattamenti in qualità di Responsabile, il Garante propone una soluzione alternativa a condizione che il RPD non sia la persona che riveste una carica apicale nell’azienda (o nel settore di cui vengono forniti i servizi) e che vi sia una rigida separazione all’interno dell’organizzazione societaria tra attività rese come RPD e attività rese come Responsabile del trattamento per altri servizi. In ogni caso, le ragioni di questa scelta dovranno essere adeguatamente descritte e documentate per eliminare del tutto il rischio di conflitti di interessi.

Un terzo caso che genera un conflitto di interessi si presenta quando l’RPD sia colui che rappresenta il Titolare del trattamento in un giudizio che riguardi problematiche di protezione dei dati personali. In questa ipotesi, la circostanza che il RPD sia contemporaneamente anche il difensore in giudizio dell’ente, andrebbe a compromettere il principio di indipendenza del RPD.

Un’ultima nota del Garante riguarda la necessità di garantire al Responsabile protezione dati interno un sufficiente grado di autonomia all’interno dell’organizzazione in cui opera. Un dirigente o un funzionario di alta professionalità sono le figure che meglio incarnano questa esigenza, potendo essi svolgere funzioni in autonomia e indipendenza e, allo stesso tempo, godere di una collaborazione diretta con il vertice dell’organizzazione. Nel caso in cui venga designato un funzionario, l’attività svolta in qualità di RPD non dovrà però subire interferenze per effetto dell’inquadramento del medesimo soggetto in un’unità organizzativa retta da un dirigente le cui determinazioni potrebbero essere oggetto di valutazione da parte del RPD.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA
L
Simona Loprete
esperta in privacy

Articolo 1 di 5