La qualifica del DPO di un ente pubblico
Il Regolamento europeo non fornisce specifiche indicazioni in merito alla qualifica richiesta al dipendente pubblico per svolgere la funzione di DPO e la questione non è affatto semplice in quanto bisogna tener conto anche della ridotta disponibilità dei dipendenti a svolgere tale attività sicuramente complessa e poco remunerativa.
E’ opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.
In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che «il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’art. 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».
Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno, secondo il Garante sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Lo stesso dipendente dovrà naturalmente avere una specifica conoscenza della normativa in materia di protezione dei dati personali, dei sistemi informativi e di aspetti organizzativi-manageriali.
Inoltre alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più DPO.
Al riguardo, si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.
Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.
Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO, anche, se del caso, operando quali componenti del suo gruppo di lavoro.
