Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura disciplinata dagli artt. 37 e seguenti del RGPD, o anche GDPR ed è, sostanzialmente, colui che, dotato di una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, assiste il titolare del trattamento o il responsabile del trattamento.
È quindi il soggetto deputato al controllo del rispetto del RGPD e, infatti, tra i suoi compiti vi è quello di sorvegliare l’osservanza dello stesso e, anche, le altre disposizioni relative alla protezione dei dati [cfr. art. 39, par. 1, lett. b)].
Il responsabile della protezione dei dati quale assistente del titolare/responsabile del trattamento
Più precisamente, secondo anche quanto precisato dal Garante, nelle FAQ dal medesimo elaborate e diffuse, si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD.
A tal fine, dev’essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo, art. 38, par. 1, del GDPR).
Sul tema in argomento si segnala il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” (provvedimento del 29 aprile 2021) del Garante per la privacy che interviene per fornire dei chiarimenti su diverse incertezze registratesi che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.
Il documento evidenzia come il RPD costituisca un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le PA sono sempre più sollecitate dalla sfida della “trasformazione digitale”. Un RPD – si evince dal documento – esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta, infatti, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.
Il DPO coopera, infatti, con l’Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del GDPR).
La posizione del responsabile della protezione dei dati
Se il DPO è l’assistente del titolare/responsabile, affinché operi correttamente e nel loro precipuo interesse, la normativa europea richiede agli stessi di sostenerlo nell’esecuzione dei propri compiti (indicati all’articolo 39), fornendogli le risorse necessarie per assolvere a tali compiti e accedere ai dati personali e ai trattamenti e, anche, per mantenere la propria conoscenza specialistica.
Inoltre, il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Ed è per questo che il legislatore europeo ha espressamente previsto: il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento (art. 38, par. 3).
Come ricorda l’EDPB, con le Linee guida WP243 sui Responsabili della Protezione dei Dati, però, garantire indipendenza e autonomia al DPO “non significa che quest’ultimo disponga di un margine decisionale superiore al perimetro dei compiti fissati nell’articolo 39.”
Il processo di selezione del DPO
Ecco, allora, che assume rilievo preminente la verifica del processo di selezione del DPO. Sul punto si ritiene estremamente importante, all’atto della designazione, l’esigenza di tenere in debito conto del c.d. bisogno di “prossimità” fra il RPD e l’organizzazione per il quale lavora, come precisato dal GEPD [Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001] per il quale: “Il DPO ricopre un ruolo centrale presso la sua istituzione/organismo: i RPD conoscono [cioè devono conoscere] i problemi degli organismi presso cui lavorano (idea di prossimità) […]”.
Ciò posto, occorrerà attentamente valutare la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e la capacità di assolvere i compiti di cui all’articolo 39. E il processo di selezione dovrà dare evidenza di tali elementi.
Occorrerà, poi, verificare che non sussistano conflitti d’interesse. Infatti, se è consentito al DPO di svolgere altri compiti e funzioni, il titolare del trattamento (o il responsabile del trattamento) si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi (art. 38, par. 6).
Sarà necessario evitare di compromettere la realizzazione degli obiettivi del GDPR. Ed infatti, la Corte di Giustizia europea (nella causa C‑453/21, X-FAB Dresden GmbH & Co. KG Contro FC) ha precisato che “una protezione rafforzata del RPD che impedisca qualsiasi sua rimozione nell’ipotesi in cui non sia o non sia più in grado di adempiere i propri compiti in piena indipendenza a causa dell’esistenza di un conflitto di interessi comprometterebbe la realizzazione di tale obiettivo.” (cfr. punto 34).
Gli incarichi del Responsabile protezione dati
Ecco che una protezione rafforzata del DPO non può compromettere la realizzazione degli obiettivi del GDPR. E tanto si verificherebbe se essa impedisse qualsiasi rimozione, da parte di un titolare del trattamento o di un responsabile del trattamento, di un RPD che non possieda più le qualità professionali richieste per assolvere i suoi compiti, ai sensi dell’articolo 37, paragrafo 5, del GDPR, o che non li svolga in conformità alle disposizioni di tale regolamento (cfr., in tal senso, sentenza della Corte di Giustizia del 22 giugno 2022, Leistritz, C‑534/20, punto 35).
Il RPD non può allora essere incaricato dell’esecuzione di compiti o funzioni che possano compromettere l’esercizio delle funzioni che egli svolge in qualità di RPD.
Le disposizioni in parola mirano essenzialmente a preservare l’indipendenza funzionale del RPD e, pertanto, a garantire l’efficacia delle disposizioni del GDPR.
D’altra parte, il RPD ha il compito, in particolare, di sorvegliare l’osservanza del GDPR e di altre disposizioni relative alla protezione dei dati e, quindi, un RPD “non può essere incaricato di svolgere compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento dei dati personali presso il titolare del trattamento o il responsabile del trattamento. Infatti, conformemente al diritto dell’Unione o al diritto degli Stati membri in materia di protezione dei dati, il controllo di tali finalità e mezzi deve essere effettuato in modo indipendente dal RPD” (cfr. punti 43 e 44).
Focus dei Garanti europei sul ruolo dei responsabili della protezione dei dati
Sul tema si segnala che il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).
Sostanzialmente, per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 GDPR e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:
– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;
– avvio di accertamenti formali;
– follow-up degli accertamenti formali in corso.
I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE.
L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività. Si tratta della seconda iniziativa nell’ambito del Coordinated Enforcement Framework (CEF). Le iniziative del CEF mirano ad armonizzare l’attuazione delle norme e la cooperazione tra le autorità di controllo.
Nel 2022, il tema prescelto è stato l’uso dei servizi cloud da parte del settore pubblico. Il 18 gennaio 2023 è stata pubblicata una relazione sui risultati di questa prima iniziativa del CEF (cfr. Doc-Web 9864636).
Articolo originariamente pubblicato il 31 Mar 2023