Decreto legislativo - 18/05/2018 - n. 51 art. 28 - Designazione del responsabile della protezione dei datiDesignazione del responsabile della protezione dei dati
1. Il titolare del trattamento designa un responsabile della protezione dei dati. 2. Il responsabile della protezione dei dati e' designato in funzione delle qualita' professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacita' di assolvere i compiti di cui all'articolo 30. 3. Puo' essere designato un unico responsabile della protezione dei dati per piu' autorita' competenti, tenuto conto della loro struttura organizzativa e dimensione. 4. Il titolare del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e, salvo quanto previsto dall'articolo 37, comma 6, li comunica al Garante. InquadramentoL'art. 28 del decreto disciplina, sulla falsariga del GDPR, la designazione del responsabile della protezione dei dati (c.d. Data Protection Officer o “DPO”). A questo proposito, l'art. 32 e il considerando 63 della Direttiva 2016/680, implementata in Italia tramite il Decreto, prevedeva la possibile esenzione dalla nomina di un responsabile della protezione dei dati in relazione alle autorità giurisdizionali e alle altre autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, da adottare a discrezionalità di ciascuno Stato membro soggetto alla Direttiva (art. 32 Direttiva 2016/680). Come emerge dalla relazione illustrativa allo schema di d.lgs. di attuazione della Direttiva (UE) 2016/680/UE, il legislatore nazionale ha scelto, tuttavia, di non avvalersi della sopra menzionata clausola di flessibilità prevista dalla Direttiva, rendendo obbligatoria la nomina del DPO anche per l'autorità giudiziaria, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti a dati sensibili, quali appunto quelli svolti in sede giurisdizionale (in senso analogo, anche il Garante nel Parere sullo schema di decreto legislativo recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 22 febbraio 2018). Inoltre, discostandosi profondamente dall'impianto normativo previsto dal GDPR, il Decreto ha introdotto l'obbligatorietà dell'individuazione e designazione del DPO unicamente per i titolari del trattamento: ai fini di tale adempimento, pertanto, il responsabile del trattamento rimane soggetto alle condizioni di applicabilità stabilite all'art. 37 GDPR, a cui si rimanda per la relativa analisi. Con riferimento all'individuazione della figura in esame, almeno per i profili generali, si considerano applicabili sia le Linee Guida del WP29 sul responsabile della protezione dei dati [wp 243] sia le Faq del Garante Privacy sul responsabile della protezione dei dati in ambito pubblico [doc. web n. 7322273]. In particolare, Linee Guida sui responsabili della protezione dei dati (RPD), versione emendata e adottata il 5 aprile 2017, secondo cui espressamente: “La nomina di un RPD è obbligatoria anche con riguardo alle autorità competenti di cui all'articolo 32 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119, 4.5.2016), alla luce della normativa nazionale di recepimento. Le presenti linee guida guardano con particolare attenzione alla figura del RPD come prevista dal GDPR, ma le indicazioni in esse formulate valgono anche per i RPD previsti dalla direttiva 2016/680 con riferimento alle disposizioni di carattere analogo contenute nei due strumenti”. Entrambe le fonti citate, in particolare, prevedono che la “designazione” possa avvenire sia nei confronti di una professionalità interna al titolare, attraverso la formalizzazione di un apposito atto di designazione, di cui il Garante fornisce uno specifico modello [doc. web n. 7322273], sia di un soggetto esterno, nel cui caso la designazione costituirà parte integrante di un apposito contratto di servizi con la persona fisica o giuridica esterna. In caso di persona giuridica, come indicato nelle Linee Guida del WP29 [wp 243], ciascun soggetto appartenente alla stessa deve possedere tutti i requisiti richiesti dal GDPR o, nel caso di specie, dal Decreto. Nell'atto di designazione, inoltre, è necessario che sia individuato in maniera inequivocabile il soggetto che opererà come DPO, riportandone espressamente le generalità, i compiti e le funzioni, oltre che – in maniera succinta – le motivazioni che hanno indotto il titolare a designare il soggetto selezionato, nel perseguimento del principio di accountability nonché, in considerazione della natura pubblica del titolare, della trasparenza e buona amministrazione. Individuazione dei requisiti soggettiviPer quanto riguarda i requisiti soggettivi del DPO, il Decreto non fornisce precise indicazioni, limitandosi a prescrivere che tale soggetto debba possedere “qualità professionali, [...] conoscenza specialistica della normativa, [...] capacità di assolvere i compiti” (art. 28, comma 2). a) Qualità professionali. Sul punto, le Linee Guida del WP29 [wp 243] e le Faq del Garante [doc. web n. 7322273] sono omogenee nell'implicare che esse corrispondano, almeno in parte, alla conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento, alla buona familiarità con le operazioni di trattamento svolte e con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare oltre che, nel caso di un'autorità pubblica o di un organismo pubblico, alla conoscenza approfondita delle norme e procedure amministrative applicabili. b) Conoscenza specialistica. Tale conoscenza deve essere parametrata alla natura, complessità e volume dei dati trattati nell'ambito della struttura organizzativa del titolare. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all'esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell'Unione europea [cfr. wp 243]. c) Capacità di assolvere i propri compiti. Con tale requisito si dovrebbe far riferimento, principalmente, alle qualità personali del DPO, alla sua posizione (se interno, rispetto alla struttura del titolare), alla sua integrità e standard deontologici [cfr. wp 243]. Il comma 3 dell'art. 28, inoltre, proprio come il GDPR in relazione ai gruppi di imprese, ammette che possa essere designato un unico DPO per più autorità competenti, tenuto conto della loro struttura organizzativa e dimensione, per esempio in caso di risorse condivise in unità centrali (considerando 63 della Dir. 680/2016). Ci si chiede, invece, se sia possibile designare più di un DPO per un unico titolare del trattamento, a titolo esemplificativo in considerazione dell'estrema complessità e numerosità dei trattamenti svolti. A questo proposito il Garante, a seguito di richieste pervenute da organizzazioni pubbliche (v., Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico [doc. web n. 7322273], ribadisce che è necessario evitare qualsiasi rischio di sovrapposizioni o incertezza sulla responsabilità, e ciò mantenendo l'unicità della figura del DPO, che pertanto deve essere sempre garantita. Criteri di conoscibilitàInfine, una volta designato, i dati di contatto del DPO devono essere pubblicati dal titolare del trattamento, oltre che comunicati al Garante. Con riguardo alla pubblicazione dei dati, ci si riferisce per lo più all'informativa privacy per gli interessati, nonché ai siti web del titolare: relativamente a questi ultimi, il Garante suggerisce agli organismi pubblici, come buona prassi, l'inserimento dei riferimenti del DPO (comprensivi di nominativo) nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente. I dati di contatto del DPO dovranno essere comunicati al Garante, secondo l'art. 28 4, “salvo quanto previsto dall'art. 37, comma 6”: ci si riferisce, specificamente, alla designazione del DPO (e, in generale, ai trattamenti) dell'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, nonché di quelle giudiziarie del pubblico ministero, in relazione a cui il Garante non è competente in ordine al controllo sui trattamenti da esse svolti. BibliografiaAvitabile, in Finocchiaro (a cura di), il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Torino, 2017, 331; Pelino, in Bolognini, Pelino, Bistolfi (a cura di), Il regolamento privacy europeo, Milano, 2016, 163 ss.; Riccio, Sica, D'Antonio, Riccio (a cura di) La nuova disciplina europea della privacy, Milano, 2016, 46; Arnò, Giannella, Palermo, in d'Agostino, Barlassina, Colarocco (a cura di), Commentario al Regolamento UE 2016/679 e al Codice della privacy aggiornato, Milano, 2018, 301 ss. |
