Contact us now
info@dviuris.com

Il responsabile della protezione dei dati

Avv. Carlo Delfino

Il responsabile della protezione dei dati

(Designazione, posizione e compiti)

Il responsabile della protezione dei dati

La Sezione 4 (artt. 37,38 e 39) del Regolamento Europeo sulla Privacy 679/2016 (di seguito anche ‘RGDP’) disciplina la figura del Responsabile della Protezione dei Dati (di seguito anche ‘RDP’) definito pure con l’anglicismo ‘Data Protection Officer’, o ‘DPO’.

Il responsabile della protezione dei dati

Analizziamo brevemente gli elementi caratterizzanti detta figura, riportandoci anche alle Linee Guida elaborate dal Gruppo di Lavoro sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali (c.d. ‘Gruppo di Lavoro art. 29’, di seguito anche ‘WP29’) istituito dalla Direttiva 95/46/CE, linee adottate il 13/12/16 ed emendate il 5/4/17.

Il responsabile della protezione dei dati

1)DESIGNAZIONE (art. 37)

Il responsabile della protezione dei dati

La designazione del Responsabile, da parte del titolare e del responsabile del t, è obbligatoria se: a)il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; b) le attività principali del titolare o del responsabile del trattamento consistono in t. che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) le attività principali del titolare o del responsabile consistono nel t. su larga scala di categorie particolari di dati o di dati personali relativi a condanna penali e reati.

Il responsabile della protezione dei dati

Le ‘categorie particolari’ di dati sono quelle previste dall’art. 9 comma 1, tra i quali si annoverano i ‘dati relativi alla salute’.

Il responsabile della protezione dei dati

Riguardo alla ‘larga scala’ il Considerando 91 del Regolamento rileva che il t. su larga scala è quello che mira al t. di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale, che potrebbe incidere su un vasto numero di interessati e che potenzialmente presenta un rischio elevato.

Il responsabile della protezione dei dati

Gli enti sanitari pubblici o privati possono rientrare nella fattispecie sub c) e, pertanto, si può ben sostenere che, per essi, la nomina di un RPD sia obbligatoria (non a caso le su indicate linee guida, a titolo di esempio, fanno rientrare nel t. su larga scala quello di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività).

Il responsabile della protezione dei dati

L’RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’articolo 39” (art. 37 c. 5).

Il responsabile della protezione dei dati

Ciò significa che l’RPD non solo deve avere una conoscenza teorica della normativa in materia, ma dovrebbe anche aver maturato un’esperienza pratica nel settore.
Può essere nominato RPD un soggetto interno alla struttura od uno esterno in forza di un contratto di servizi.
Riguardo alla nomina interna, il Regolamento parla di ‘dipendente’ del titolare o del responsabile del t..

Il responsabile della protezione dei dati

Nel caso in cui il t. sia effettuato da un’autorità o da un organismo pubblici, le ultime FAQ dell’Autorità Garante sul RPD in ambito pubblico del 15/12/17, qualora si opti per un Responsabile interno, consigliano che “la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione”.

Il responsabile della protezione dei dati

Tuttavia, nelle piccole e medie imprese private che non hanno un’estesa e complessa struttura organizzativa – considerati posizione e compiti del RPD, viste le osservazioni in proposito del WP 29 (per le quali potrebbero insorgere conflitti all’interno dell’organizzazione aziendale non solo tra RPD e ruoli apicali, quali Amministratore Delegato, responsabile operativo, responsabile sanitario, direttore risorse umane, responsabile IT, ecc, ma anche tra RPD e posizioni gerarchicamente inferiori ai vertici aziendali ) – è consigliabile la nomina a RPD di un soggetto esterno all’azienda o all’ente, per la ovvia ragione che: a) soggetti intranei apicali all’azienda potrebbero nutrire un (inconfessabile) interesse, anche economico, a non sorvegliare con il dovuto rigore l’osservanza del Regolamento o a dare un parere (troppo) ‘benigno’ in merito alla valutazione di impatto sulla protezione dei dati, mentre b) soggetti intranei non di vertice potrebbero ricevere dall’alto istruzioni o ‘consigli’ ‘inappropriati’ sull’esecuzione dei propri compiti di Responsabile o temere di essere penalizzati dal titolare del t. qualora svolgano in modo rigoroso i suddetti compiti.

Il responsabile della protezione dei dati

A questo proposito si segnala quella che, ad avviso dello scrivente, è un’incongruenza del Regolamento: il quale, da un lato, ha elaborato la posizione del RPD quale quella di un soggetto necessariamente ‘terzo’ rispetto alla struttura aziendale (vedasi il Considerando 97 del Regolamento, per cui il Responsabile deve poter adempiere ai suoi compiti ed alle sue funzioni, in maniera indipendente) , ma, da un altro, prevedendo che RPD possa essere anche un ‘dipendente’ del titolare del t., finisce per mettere a rischio la sua ‘terzietà’, in quanto è arduo poter immaginare un dipendente al contempo ‘indipendente’.

Il responsabile della protezione dei dati

I dati di contatto del RPD devono essere pubblicati e comunicati all’Autorità Garante da parte del titolare o del responsabile del t..
Come accade nell’ambito delle cosìdette “professioni non regolamentate”, si sono diffuse delle forme di certificazione delle competenze del RPD rilasciate da enti certificatori. A parere delle su menzionate ultime FAQ dell’Autorità Garante “esse, pur rappresentando, al pari di altri titoli (come, si ritiene, la partecipazione a corsi formativi), un valido strumento ai fini del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a un a ‘abilitazione’ allo svolgimento del ruolo del RPD”

Il responsabile della protezione dei dati

2) POSIZIONE (art. 38)

Il responsabile della protezione dei dati

Il RPD deve essere tempestivamente ed adeguatamente coinvolto, dal titolare e dal responsabile del t., in tutte le questioni riguardanti la protezione dei dati.

Il responsabile della protezione dei dati

Ciò significa che: a) l’RPD può fornire un parere sulla valutazione di impatto sui dati personali; b) l’RPD deve essere invitato a partecipare su base regolare alle riunioni manageriali di alto e medio livello aventi ad oggetto la protezione dei dati; c) il parere del RPD deve ricevere la dovuta considerazione e dovrebbero essere documentate le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal Responsabile; d) l’RPD deve essere consultato tempestivamente in caso di violazione dei dati; in proposito, il WP 29 consiglia di mettere a punto linee guida che indichino i casi di consultazione obbligatoria del RPD.

Il responsabile della protezione dei dati

L’RPD deve essere sostenuto – nell’esecuzione dei suoi compiti – dal titolare e dal responsabile del t.. Ciò vuol dire che questi devono fornire al Responsabile le necessarie risorse sia finanziarie che organizzative, devono offrirgli la possibilità di accedere ai dati personali ed ai trattamenti, nonché incoraggiarlo a partecipare a corsi formativi, convegni, seminari, al fine di mantenere la sua conoscenza specialistica.

Il responsabile della protezione dei dati

Il titolare ed il responsabile del t. devono assicurare che l’RPD non riceva alcuna istruzione per l’esecuzione dei suoi compiti, quale, ad es., un’istruzione sull’interpretazione da dare ad una specifica questione attinente alla normativa sulla protezione dei dati. Tuttavia, anche in questo caso, l’organo apicale di una società o di un ente si asterrebbe davvero dall’offrire ad un RPD suo dipendente, se non un’istruzione precisa, quantomeno un caldo ‘consiglio’ su un’interpretazione meno rigorosa (e meno costosa) della normativa? E, se del caso, l’RPD dipendente avrebbe la forza di opporsi?

Il responsabile della protezione dei dati

Correlativo al divieto di dare istruzioni, è il divieto di rimozione o penalizzazione del RPD per l’adempimento dei propri compiti.
Ciò, per un RPD interno, si traduce nel divieto di licenziamento, mancata o ritardata promozione, blocco della progressione di carriera, mancata concessione di incentivi rispetto ad altri dipendenti; o anche nel divieto di una semplice minaccia di penalizzazione.

Il responsabile della protezione dei dati

Ma anche in tal caso, si ritiene che un Responsabile interno potrebbe subìre la pressione psicologica del rischio dell’inflizione di un’eventuale penalizzazione, qualora svolgesse rigorosamente il suo compito, senza tuttavia poter dimostrare che detta penalizzazione è stata adottata solo in virtù della sua condotta rigorosa nell’applicare il Regolamento.
Il RPD potrà comunque essere rimosso per ragioni diverse dall’adempimento dei propri compiti, come in caso di furto, appropriazione indebita, molestie sessuali o analoghe e gravi violazioni deontologiche e penali.

Il responsabile della protezione dei dati

Inoltre il Regolamento prevede che l’RPD riferisca direttamente al ‘vertice gerarchico’ del titolare del t., ad es. per manifestare il proprio dissenso qualora il titolare o il responsabile del t. assumano decisioni incompatibili con il RGPD e con le indicazioni da lui fornite. Con il paradossale risultato che – se si opta per la nomina a RPD di un soggetto apicale appartenente al vertice societario (ad es. l’A.U. o il Direttore Generale in una s.r.l. di medio – piccole dimensioni) – il Responsabile dovrebbe riferire il proprio dissenso……. a sé stesso (!).

Il responsabile della protezione dei dati

L’RPD deve poter essere contattato dagli interessati per le questioni relative al trattamento dei loro dati personali ed all’esercizio dei loro diritti previsti dal RGPD. Il Responsabile è (ovviamente) altresì tenuto al segreto ed alla riservatezza nell’adempiere i suoi compiti.

Il responsabile della protezione dei dati

L’RPD può svolgere altri compiti e funzioni (all’interno ed all’esterno dell’organizzazione aziendale). Tuttavia, poiché il titolare o il responsabile del t. devono assicurare che detti compiti e funzioni non diano adito ad un conflitto di interessi (perché l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza) e, poiché, come visto, potrebbe verificarsi un conflitto di interessi riguardo a ruoli manageriali di vertice, se ne deduce che il Responsabile non possa al contempo rivestire un incarico di vertice nell’organizzazione aziendale proprio al fine di impedire il sorgere di un conflitto.

Il responsabile della protezione dei dati

3) COMPITI (art. 39)

Il responsabile della protezione dei dati

Compiti del RPD sono ‘almeno’ (ciò significa che nulla vieta al titolare del t. di assegnare al Responsabile compiti ulteriori) i seguenti.
A)Informare e fornire consulenza al titolare, al responsabile ed ai dipendenti che eseguono il t. sugli obblighi derivanti dal RGPD o da altre disposizioni dell’UE e degli Stati membri in ordine alla protezione dei dati.

Il responsabile della protezione dei dati

B) Sorvegliare l’osservanza del RGPD (e di altre disposizioni comunitarie e statali sulla protezione dei dati) e delle politiche del titolare o del responsabile del t. in materia di protezione dati; i quali ultimi, nella loro attività di controllo del rispetto del Regolamento, dovrebbero essere assistiti dal Responsabile, ex Considerando 97 del RGPD.
Si sottolinea che, pur se l’RPD deve controllare il rispetto del Regolamento, lo stesso NON E’ RESPONSABILE in caso di sua inosservanza, ricadendo invece detta responsabilità in capo al titolare e al responsabile del t..

Il responsabile della protezione dei dati

C) Se richiesto, fornire un parere al titolare del t. sulla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.

Il responsabile della protezione dei dati

Il WP 29 raccomanda al titolare di consultarsi con il Responsabile sulle seguenti tematiche:

Il responsabile della protezione dei dati

° se condurre o meno una DPIA;
° quale metodologia adottare nella conduzione della DPIA;
° se condurre la DPIA con le risorse interne o esternalizzarla;
° quale salvaguardie applicare al fine di attenuare i rischi per i diritti e le libertà degli interessati;
° se la DPIA sia stata condotta correttamente o meno e se le conclusioni adottate (procedere o meno con il t. e quali salvaguardie applicare) siano conformi al Regolamento.

Il responsabile della protezione dei dati

Qualora il titolare non concordi con le indicazioni fornite dal Responsabile, è necessario che la DPIA riporti per iscritto le motivazioni per cui il titolare medesimo ha ritenuto di non conformarsi alle indicazioni del RPD.

Il responsabile della protezione dei dati

D) Cooperare con l’Autorità Garante e fungere da punto di contatto con essa per questioni connesse al trattamento (tra cui la ‘consultazione preventiva’ di cui all’art. 36) e, se del caso, effettuare consultazioni relative a qualunque altra questione.

Il responsabile della protezione dei dati

Secondo WP 29 il Responsabile deve fungere da punto di contatto con l’Autorità Garante per facilitare l’accesso da parte di quest’ultima a documenti ed informazioni necessari per l’adempimento dei suoi compiti di cui all’art. 57, nonché ai fini dell’esercizio dei suoi poteri di indagine, correttivi, autorizzativi e consultivi di cui all’art. 58.
Questo suo ruolo di ‘facilitatore’ dell’attività di indagine e correttiva dell’Autorità Garante (che potrebbe condurre, ad es., all’inflizione di sanzioni pecuniarie anche pesanti ai danni della società o dell’ente o al divieto di trattamento dei dati da parte di questi ultimi) è un’ulteriore motivo che milita in favore della scelta di un RPD esterno all’organizzazione aziendale, qualora si voglia rendere credibile una sua ‘terzietà’.

Il responsabile della protezione dei dati

Il Responsabile, nell’esecuzione dei propri compiti, deve considerare debitamente i rischi inerenti al t., tenuto conto della natura, ambito di applicazione, contesto e finalità dello stesso.
Ad avviso di WP 29, si chiede al RPD di definire un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino i maggiori rischi in termini di protezione dei dati. In sostanza, la disposizione regolamentare segnale l’opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.

Il responsabile della protezione dei dati

Infine, si osserva che l’art. 30 prevede che il Registro delle attività di trattamento sia tenuto dal titolare e, ove possibile, da un suo rappresentante.
Tuttavia, secondo WP 29, poiché l’art. 39 contiene un elenco non esaustivo dei compiti affidati al RPD, nulla vieterebbe al titolare del t. di affidare il compito di tenere il Registro al Responsabile, pur sotto la responsabilità del titolare medesimo.

Il responsabile della protezione dei dati

Con ciò seguendo quella che WP 29 definisce “una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali, nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE” (v. art. 24 par.1 lett.D del Regolamento (CE) 45/2001).

Il responsabile della protezione dei dati

< info@dviuris.com