Designazione, posizione e compiti del RPD | DPO in ambito pubblico: analizziamo nel dettaglio i chiarimenti del Garante sulle principali criticità riscontrate nello svolgimento dei compiti di questa figura chiave.
Il DPO nel settore pubblico. Una figura chiave con funzioni specifiche, spesso vissuta dalle Pubbliche Amministrazioni (PA) come un mero adempimento formale, senza comprendere adeguatamente l’importanza della figura in questione nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati dal titolare.
A quasi 3 anni dall’applicazione del GDPR, il Garante per la protezione dei dati personali (GPDP) ha pubblicato a maggio 2021 il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD | DPO) in ambito pubblico”.
Con questo documento il Garante ha finalmente fatto chiarezza su una serie di criticità che si erano rilevate nell’applicazione del GDPR in tema di designazione, posizione e compiti dell’RPD | DPO.
Il documento di 36 pagine è una sorta di raccolta di precedenti interventi del GDPD a seguito delle istanze pervenutele in questi 3 anni di applicazione della norma.
Ma andiamo con ordine e scorriamo sinteticamente i punti analizzati nel documento.
1. RPD | DPO quale punto di contatto
Vengono sottolineate con forza l’indipendenza e l’autonomia del RPD | DPO e la necessità di sinergia e contatto di questa figura con il Garante per la protezione dei dati personali nello svolgimento delle proprie attività.
2. Obbligo di designazione RPD | DPO nella PA
Viene sottolineato l’obbligo di designazione del Data Protection Officer, in questo settore ancora non sempre rispettato.
3. DPO cumulativo
Il Garante ribadisce la possibilità per le strutture organizzative con dimensioni limitate in termini di risorse economiche di avvalersi di un DPO in comune. In questi casi deve però essere garantito l’efficace svolgimento dei propri compiti, per questo il Garante fornisce specifici suggerimenti alle Pubbliche Amministrazioni.
4. Qualità professionali e possesso di titoli
Nei bandi pubblici vengono indicati i requisiti professionali e i titoli che deve avere l’RPD | DPO. Questi non sono stabiliti dal GDPR e il loro possesso non è sinonimo di competenze assicurate. Il Garante ha definito che spetta al titolare verificare le sue competenze nel concreto.
5. RPD | DPO esterno
Nei casi di nomina di RPD | DPO esterni il Garante ha riscontrato numeri eccessivi di incarichi acquisiti in capo alla medesima società o professionista, tempi d’incarico e risorse inadeguate e confusione sulle reali responsabilità in capo a ciascun soggetto. Viene qui ribadita la necessità di una chiara definizione dei ruoli del RPD | DPO esterno e come realizzarla nel pratico.
6. RPD | DPO con numerosi incarichi e attività presso la PA
Nel caso di società che svolgono incarichi di RPD | DPO per conto di numerosi soggetti pubblici, il Garante rileva il rischio di impatto sull’adeguatezza e l’efficacia del ruolo del RPD | DPO.
7. Contratto esterno RPD | DPO: referente della persona giuridica anche a partita IVA
Il Garante fa chiarezza anche sulla possibilità, prima messa in dubbio da qualche TAR, che la persona giuridica candidata ad assumere l’incarico di RPD | DPO per conto di una PA possa avvalersi di un referente persona fisica che non sia un dipendente della società medesima, e quindi sia esterno al suo organico.
8. Durata dell’incarico
Per poter conoscere adeguatamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati, il Garante indica che la durata dell’incarico di un RPD | DPO, per essere congrua, è di almeno 3 anni.
9. Remunerazione del RPD | DPO
Il GDPD ritiene che l’eccessivo abbassamento della remunerazione per la fornitura del servizio di RPD | DPO abbia effetti negativi. A tal proposito si suggerisce di non basare le scelte in sede di bando dando uno sproporzionato peso all’elemento prezzo, ma anche ad aspetti di carattere qualitativo delle offerte.
10. Pubblicazione e comunicazione al GDPD
Viene sottolineata l’importanza di pubblicare i dati di contatto del RPD | DPO, nello specifico sulla home page del sito web del Titolare del trattamento, e comunicare i dati di contatto al GDPD. stesso. Il Garante fornisce a tal proposito alcuni spunti pratici.
11. Coinvolgimento del Titolare del trattamento | frequenza incontri
Il Garante ritiene critica la situazione in cui ci siano RPD | DPO poco propositivi e Titolari del trattamento portati a considerare la figura del RPD | DPO quale mero adempimento formale e suggerisce alcune buone pratiche, anche da formalizzare contrattualmente.
12. Team del RPD | DPO
Con riferimento alle Linee guida del EDPB e alle precedenti FAQ del Garante occorre valutare attentamente l'opportunità o la necessità di istituire un apposito gruppo di persone (Team) a supporto del RPD | DPO, al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti.
13. RPD | DPO interno e conflitti d’interesse
Il GDPD ha riscontrato numerose situazioni in cui viene nominato, quale RPD | DPO, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività di RPD con la necessaria indipendenza.
14. Incompatibilità del RPD | DPO – interno | esterno
Il Garante chiarisce i casi in cui potrebbe generarsi una incompatibilità del ruolo del RPD | DPO interno o esterno con la funzione svolta.
15. FAQ sul RPD | DPO in ambito privato
Il GDPD ha colto l’occasione anche per aggiornare le FAQ in merito al ruolo del RPD | DPO nel settore privato, strumento molto più snello rispetto a quello pubblicato per il settore pubblico.
Ecco i punti chiave del documento approfonditi dal presidente di ASSO DPO Matteo Colombo >