Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?
A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, sul sito www.gpdp.it.
L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.
Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.
Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.
Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.
Ecco il documento in sintesi:
Il Garante ritiene necessario fornire dei chiarimenti, al fine di rendere più effettiva ed efficace l’attività del RPD e di mettere il titolare del trattamento nelle migliori condizioni per assicurare il corretto trattamento dei dati personali. In particolare, tale esigenza si rende necessaria per il settore pubblico, laddove la designazione del RPD rappresenta un obbligo, ai sensi dell’art. 37, par. 1, lett. a), del Regolamento.
Questa peculiarità ha fatto sì che, in molte realtà, tale onere generalizzato sia stato talvolta vissuto come un mero adempimento formale, senza comprendere adeguatamente l’importanza della figura in questione nel supporto e nella vigilanza sulla correttezza dei trattamenti di dati personali effettuati dal titolare. Ciò ha fatto sì che, una volta affidato l’incarico, in molte situazioni, non venisse prestata la dovuta attenzione ad aspetti quali il coinvolgimento del RPD, l’assegnazione di risorse sufficienti o l’attribuzione di ulteriori incarichi dalla dubbia compatibilità.
Il documento “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” recepisce, al suo interno, i chiarimenti già emanati con le citate “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico” del 2017, che comunque rimangono anche quali indicazioni autonomamente reperibili.
Le indicazioni contenute nel Documento di indirizzo sono rivolte anche ai RPD, in quanto li impegnano nell’esecuzione dei compiti demandati loro dal Regolamento medesimo.
Il RPD quale “punto di contatto” per l’Autorità L’art. 39, par. 1, lett. d) ed e), del Regolamento prevede che il RPD, tra i suoi compiti, cooperi con l’Autorità e funga da punto di contatto per questioni connesse ai trattamenti. Come indicato nelle Linee guida del WP29, in questo modo il RPD svolge un ruolo di “facilitatore”, in quanto facilita l’accesso, da parte dell’Autorità, ai documenti e alle informazioni necessarie “per l’adempimento dei compiti attribuitile dall’articolo 57 nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58” (par. 4.3, pp. 23-24). Questo delicato compito carica ancor di più di significato l’obbligo per il titolare/responsabile del trattamento, stabilito dall’art. 38, par. 1, del Regolamento, di assicurarsi che il RPD sia “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali, (su questo specifico profilo, cfr. par. 8).
Ciò significa che, nell’attività di acquisizione di elementi da parte dell’Autorità nello svolgimento delle proprie funzioni, deve sempre essere garantito il supporto del RPD. Tale supporto è necessario: – da un lato, al titolare/responsabile, al fine di individuare la documentazione e le informazioni corrette e pertinenti da fornire all’Autorità – dall’altro lato, all’Autorità stessa, al fine di agevolare l’attività istruttoria e consentire il tempestivo accertamento della conformità dei trattamenti indagati alla normativa in materia di protezione dei dati personali.
Per queste ragioni, in sede di istruttoria preliminare, le richieste di informazioni saranno tendenzialmente indirizzate anche al RPD, pur rimanendo l’onere di fornire riscontro. A questo fine, risulta quindi essenziale che il titolare/responsabile del trattamento comunichi tempestivamente all’Autorità i dati esatti di contatto del RPD, ai sensi dell’art. 37, par. 7, del Regolamento, provvedendo al loro tempestivo aggiornamento, anche in caso di modifica dei dati o di sostituzione del soggetto designato (in tema di comunicazione dei dati di contatto all’Autorità, cfr. par. 7).
Peraltro, la presenza di dati non esatti o non aggiornati presso l’Autorità potrebbe comportare l’inoltro di comunicazioni a soggetti che non sono (o non sono più) RPD, mettendoli in questo modo (impropriamente) a parte di informazioni riservate connesse all’esercizio delle funzioni istituzionali. Infine, si invitano i titolari/responsabili in ambito pubblico a coinvolgere sistematicamente il proprio RPD anche in relazione ad altre attività espletate dall’Autorità quali accertamenti ispettivi, audizioni, richieste di parere, riunioni svolte a qualsiasi titolo. In questa sede, la presenza di una figura qualificata ed esperta in materia e che conosce nel dettaglio i trattamenti svolti presso il titolare/responsabile, è in grado di assicurare una più corretta e completa rappresentazione delle questioni trattate e delle eventuali iniziative da suggerire – pur rimanendo il potere decisionale in capo al titolare del trattamento.
Il medesimo invito a interpellare preliminarmente il proprio RPD vale, in modo particolare, in relazione a eventuali quesiti relativi a trattamenti posti sotto la loro gestione, in relazione ai quali il Garante, in generale, non è dotato di compiti consultivi, al di fuori da quelli espressamente previsti dal Regolamento o dalla legge.
Ciò consentirà, infatti, al RPD di poter esercitare i compiti affidatigli dal Regolamento (a partire da quelli di consulenza di cui all’art. 39, par. 1, lett. a)), e all’amministrazione di trovare le risposte al proprio interno, nella massima valorizzazione dell’accountability di cui agli artt. 5, par. 2, e 24 del Regolamento. Qualora, comunque, l’ente ritenesse di doversi rivolgere all’Autorità, sarà opportuno che lo faccia solo per il tramite del proprio RPD, e solo dopo averne comunque acquisito il relativo parere, che dovrà essere allegato alla richiesta.
L’obbligo di designazione
L’art. 37, par. 1 del Regolamento prevede che: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
Preliminarmente, occorre ricordare che sussiste l’obbligo di designazione per tutti i soggetti pubblici, ai sensi della lett. a) dell’art. 37, par. 1, del Regolamento, quali, ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le Università; le Camere di commercio, industria, artigianato e agricoltura; le Aziende del Servizio sanitario nazionale; le Autorità indipendenti (cfr., a valenza meramente indicativa e non esaustiva, l’elenco di cui all’art. 1, comma 2, del d.lgs. 30 marzo 2001, n. 165).
Per quanto concerne, in generale, i soggetti privati che esercitano funzioni pubbliche, pur essendo l’obbligo di designazione del RPD rimesso a una valutazione che tenga conto degli elementi di cui alle lett. b) e c) dell’art. 37, par. 1, del Regolamento, alla luce delle indicazioni contenute nelle Linee guida del WP29, è comunque fortemente raccomandato individuare ed investire una figura dell’incarico di RPD, tenendo conto, tra le altre cose, che le caratteristiche dei trattamenti da costoro svolti sono assimilabili a quelli effettuati da soggetti propriamente pubblici, stante la medesima riconducibilità a compiti di interesse pubblico.
Per quanto concerne lo specifico ambito sanitario, posto che le Aziende sanitarie appartenenti al Servizio sanitario nazionale sono obbligate alla designazione in quanto si tratta di organismi pubblici, anche ospedali privati, case di cura o Residenze sanitaria assistenziale (RSA) si devono ritenere, in via generale, sottoposti all’obbligo di designazione, trattando dati sulla salute su larga scala (art. 37, par. 1, lett. c), del Regolamento).
Per quanto concerne il “numero” di RPD di cui si può avvalere un’amministrazione, si rileva che l’unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata. Ciò significa che, presso amministrazioni particolarmente complesse, come i Ministeri, è in ogni caso necessario che venga individuato un solo RPD, in corrispondenza dell’unicità dell’ente quale titolare del trattamento, i cui dati di contatto dovranno essere pubblicati e comunicati all’Autorità ai sensi dell’art. 37, par. 7, del Regolamento, in quanto egli rappresenta il punto di contatto unico, sia per l’Autorità che per gli interessati, pur potendosi avvalere di referenti allocati presso altre articolazioni che gli forniscano il supporto opportuno.
Qualità professionali e possesso dei titoli
Si rende necessario che l’ente pubblico valuti le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua, prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea.
Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica. Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate.
Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare. In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico. Pertanto, ne discende che, al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale RPD, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il RPD sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
LA DURATA DELL’INCARICO
La durata del contratto di servizi deve tendenzialmente essere tale da consentire al RPD di poter impostare, in un periodo non breve, le attività necessarie per rendere conformi al Regolamento i trattamenti effettuati dal titolare che lo ha incaricato. Spetta ovviamente a ciascun ente pubblico valutare la congruità della durata rispetto alle caratteristiche dell’amministrazione (dimensioni, risorse a disposizione, ecc.) e a quelle dei trattamenti svolti (complessità, qualità e quantità dei dati personali trattati, ecc.): ma, in linea di massima, si ritiene che un periodo congruo per la durata dell’incarico possa essere stimato intorno ai tre anni, al fine di dare al RPD il tempo necessario per poter conoscere adeguatamente l’organizzazione dell’ente e attuare le misure necessarie a garanzia dei diritti degli interessati.
Ciò posto, nello stabilire la durata del contratto con il RPD esterno, l’ente pubblico, pur all’interno di una sfera di discrezionalità riguardo alle scelte organizzative, non può affidarsi a criteri che possano essere sintomatiche di un rapporto non improntato all’autonomia di azione del RPD (come, ad esempio, lo stretto collegamento dell’incarico di RPD con il mandato di un organo direttivo dell’ente medesimo). Infine, in quest’ottica, si richiamano le amministrazioni a prestare attenzione a quanto sostenuto dall’Autorità nazionale anticorruzione, a fini di rispetto della disciplina in materia di contratti pubblici, sulla necessità che l’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie debba avvenire nel rispetto del principio di rotazione.
LA REMUNERAZIONE DELL’INCARICO
Come per quanto detto in relazione alla durata del contratto, anche nella determinazione del compenso l’ente pubblico affidante, pur tenendo in adeguato conto le risorse a disposizione e la situazione organizzativa, dovrebbe effettuare valutazioni di congruità della cifra da stabilire, al fine di investire un RPD che svolga i propri compiti in maniera efficace. In questa prospettiva, si invitano gli enti pubblici, nel momento della definizione dei criteri di aggiudicazione del servizio di RPD, a considerare di privilegiare la scelta del criterio dell’offerta economicamente più vantaggiosa, in coerenza con la preferenza accordata dall’art. 95 del d.lgs. 50/2016 e affermata dall’Adunanza plenaria del Consiglio di Stato (sent. 21 maggio 2019, n. 8), nonché in linea con le indicazioni fornite dall’Autorità nazionale anticorruzione. Infatti, come sancito dal richiamato orientamento giurisprudenziale, “nell’ambito della generale facoltà discrezionale nella scelta del criterio di aggiudicazione, a sua volta insita nell’esigenza di rimettere all’amministrazione la definizione delle modalità con cui soddisfare nel miglior modo l’interesse pubblico sotteso al contratto da affidare, le stazioni appaltanti sono nondimeno vincolate alla preferenza accordata dalla legge a criteri di selezione che abbiano riguardo non solo all’elemento prezzo, ma anche ad aspetti di carattere qualitativo delle offerte” (cons. 8). Nel caso di specie, gli aspetti qualitativi sono direttamente collegati anche alla valutazione delle qualità professionali di cui all’art. 37, par. 5, del Regolamento: pertanto, le pubbliche amministrazioni dovranno contemperare in maniera congrua e proporzionata le esigenze di razionalizzazione della spesa con quelle di acquisizione delle competenze adeguate per lo svolgimento dei compiti connessi alla migliore realizzazione degli obiettivi posti dalla disciplina europea a tutela dei diritti e delle libertà fondamentali degli interessati. Infine, per quanto riguarda le descritte situazioni di affidamento a titolo gratuito in favore di società consortili che forniscono altri servizi (soprattutto in campo IT), si fa presente che la questione del compenso (in questo caso non previsto) rappresenta una conseguenza di un’altra problematica posta a monte, e cioè quella del conflitto di interessi in capo alla società (ampiamente trattata al par. 10.2).
Un’applicazione rigorosa del principio di separazione tra servizi forniti da un soggetto in qualità di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, e i servizi forniti da un soggetto esterno in qualità di RPD, ai sensi dell’art. 37 del Regolamento, dovrebbe naturalmente condurre all’incumulabilità dei due incarichi in capo allo stesso soggetto, risolvendo, pertanto, alla radice la questione della remunerazione.
Nessun tag inserito.