Le Linee di indirizzo del Garante per i RPD: finalmente un po’ di chiarezza?

Il 29 aprile scorso il Garante ha adottato, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento, e dell’art. 154-bis, comma 1, lett. a), del Codice, il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico“, pubblicato nella giornata di ieri insieme alle FAQ aggiornate.

A distanza di circa tre anni dalla piena applicazione del Regolamento occorre ora superare alcune incertezze; a tal proposito, il Garante ha deciso di adottare delle linee guida di indirizzo per il Responsabile della protezione dei dati, con il quale intende fornire i chiarimenti agli interrogativi di maggior rilievo che sono stati posti all’attenzione dell’Autorità nel triennio appena trascorso e conseguentemente orientare i titolari del trattamento.

RPD un ruolo di facilitatore

Il DPO o RPD ha compiti correttivi, autorizzativi e consultivi. Questo delicato compito carica ancor di più di significato di obbligo per il titolare e/o responsabile del trattamento, stabilito dall’art. 38, par. 1, del Regolamento, di assicurarsi che il RPD sia “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

L’Autorità Garante definisce che il RPD svolge un ruolo di “facilitatore”, in quanto facilita l’accesso, da parte dell’Autorità, ai documenti e alle informazioni necessarie. SI sottolinea, ancora una volta, il ruolo di punto di contatto tra DPO e Garante.

L’invito a interpellare preliminarmente il proprio RPD vale, in modo particolare, in relazione a eventuali quesiti relativi a trattamenti posti sotto la loro gestione, in relazione ai quali il Garante, in generale, non è dotato di compiti consultivi, al di fuori da quelli espressamente previsti dal Regolamento o dalla legge. Ciò consentirà, infatti, al DPO di poter esercitare i compiti affidatigli dal Regolamento e alla massima valorizzazione dell’accountability di cui agli artt. 5, par. 2, e 24 del Regolamento.

Obbligo di designazione

Il Garante affronta, anche, la questione dell’obbligo di designazione del DPO; in modo particolare dai concessionari di pubblici servizi come le strutture sanitarie private.

Nelle linee guida si leggono alcuni esempi in cui si rende obbligatorio la nomina del DPO, ed in particolare, le società concessionarie dei servizi di trasporto pubblico locale, di gestione delle autolinee pubbliche o di raccolta dei rifiuti, allorché utilizzano sistemi che comportano il trattamento, su larga scala, di dati di dipendenti e utenti, associato a un monitoraggio regolare o sistematico: si pensi ai dispositivi di geolocalizzazione dei veicoli impiegati nel servizio, alle forme di tracciamento dei titoli di viaggio o ai call center per la gestione delle telefonate dell’utenza.

Qualità professionali e possesso di titoli

Viene affrontata, altresì, l’annosa vicenda dei titoli e qualifiche professionali idonee che dovrebbe avere un RDP. La struttura obbligata alla designazione deve valutare le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD.

É fondamentale che abbia ampia conoscenza di norme e prassi in materia di protezione dei dati personali, che può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale o attraverso la partecipazione ad attività formative specialistiche.

Il Garante fa rientrare tra quest’ultime anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione , ma non un’abilitazione di per sé aprioristica.

In tale contesto, il documento sottolinea che in ogni caso la competenza a ricoprire il ruolo di RPD non può essere riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione) ma occorre focalizzarsi sulla competenza reale in materia di protezione dei dati personali.

Ulteriore aspetto che viene affrontata è quella concernente la durata del contratto di servizi del DPO. La durata del contratto deve tendenzialmente essere tale da consentire al RPD di poter impostare, in un periodo non breve, le attività necessarie per rendere conformi al Regolamento i trattamenti effettuati dal titolare che lo ha incaricato.

I bassi compensi e il monito dell’Autorità

Sono state rappresentate all’Autorità situazioni in cui bandi di gara per l’affidamento all’esterno del servizio di RPD prevedevano compensi estremamente bassi nell’ordine delle poche centinaia di euro, avvalendosi del criterio di aggiudicazione basato sul prezzo più basso di cui all’art. 95 del d.lgs. 18 aprile 2016, n. 50.

A tal proposito, si legge nel Documento che si dovrebbero effettuare valutazioni di congruità della cifra da stabilire, al fine di investire un RPD che svolga i propri compiti in maniera efficace. Ne consegue che i bandi di gara dovrebbero prevedere un budget di spesa adeguato alla funzione e alle competenze del DPO scegliendo, poi, l’offerta economica più vantaggiosa ma non a discapito della competenza.

Ancora, si osserva che la prassi di instaurare contatti, solo saltuari, tra il titolare e il proprio RPD (sia interno che esterno) vanifica il senso della presenza dello stesso RPD e, con esso, il principio  di privacy by design e by default promosso dal Regolamento, con conseguenze dirette in capo ai titolari in termini del principio di accountability e di inadempimento agli obblighi del Regolamento  (ai sensi degli art. 82 e 83 del Regolamento)

Infine, il Documento sottolinea l’importanza di valutare attentamente l’opportunità e necessità di istituire un apposito team a supporto del RPD che possa essere di ausilio all’attività dello stesso.

Conclusioni

Il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” oggi si è reso necessario alla luce della Trasformazione Digitale che vede impegnate le PA.

Data Protection Officer

Scopri il corso e-learning in collaborazione con Euroconference

Il ruolo di DPO può essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze professionali.

Al termine del percorso il professionista sarà in grado di svolgere le funzioni di controllo, coordinamento e supervisione della corretta gestione e tutela dei dati personali contenuti nei sistemi informativi dell’organizzazione in cui opera, delineando e implementando, difatti, le misure di privacy e sicurezza.