27 Feb Le nuove FAQ dell’Autorità Garante per la protezione dei dati personali sul Responsabile della Protezione dei dati (DPO) in ambito pubblico

Background/Scenario

Il 15 dicembre 2017, l’Autorità Garante per la protezione dei dati personali (d’ora in avanti, “Garante”) ha pubblicato le nuove “frequently asked questions” (“FAQ”) relative al responsabile della protezione dei dati (“DPO”) in ambito pubblico.

L’obiettivo principale delle FAQ è rispondere alle principali domande e dubbi emersi durante gli incontri svolti a giugno 2017 tra le Pubbliche Amministrazioni italiane e il Garante.

Si tratta di è uno strumento utile che può fungere da guida più specifica, in aggiunta alle linee guida sul DPO del Gruppo di lavoro Articolo 29 (“WP29”), per chiarire ulteriormente il ruolo del DPO nelle pubbliche amministrazioni italiane.

Questioni principali

> A quali amministrazioni è richiesto designare un DPO?

Stante l’art. 37 (1)(a) del Regolamento Generale sulla Protezione dei Dati (“GDPR”), il Garante conferma che tutte le autorità e gli organismi pubblici devono designare un DPO, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali. Tuttavia, il GDPR non definisce cosa costituisce una “autorità pubblica o organismo pubblico” in quanto, secondo WP29, tale nozione è determinata dalla legge nazionale.

Pertanto, le autorità pubbliche e gli organismi obbligati a designare un DPO sono quelli enumerati negli articoli 18-22 del Codice Privacy, quali: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

Inoltre, il Garante raccomanda fortemente la designazione di un DPO ai soggetti privati ​​che esercitano funzioni pubbliche, ancorché questo non sia un obbligo.

> Quali qualifiche deve avere un DPO assunto in una pubblica amministrazione?

In conformità con l’art. 38 (3) del GDPR, le due caratteristiche essenziali del DPO sono:

1. lo svolgimento delle sue funzioni in modo indipendente;
2. il riporto diretto al top management.

Quanto sopra suggerisce che sarebbe opportuno attribuire il ruolo di DPO ad un dirigente o ad altro funzionario di elevata professionalità.

> Il DPO deve possedere certificati di abilitazione?

Il Garante chiarisce che la funzione di DPO rientra nelle “professioni non regolamentate”. Ciò significa che qualsiasi certificato, pur rappresentando uno strumento valido per verificare un livello minimo di conoscenza, non è equivalente a un’  “abilitazione” a svolgere le funzioni di DPO.

La valutazione finale dei requisiti del DPO resta pertanto appannaggio della pubblica amministrazione.

> Quale atto formale è necessario per designare un DPO?

Il Garante afferma che in caso di:

• DPO cd. interno: è necessario uno specifico atto di designazione per formalizzare il ruolo di DPO;
• DPO cd. esterno: l’atto di designazione sarà parte integrante di un contratto di servizi.

In entrambi i casi, l’atto di designazione deve specificare l’identità, le funzioni, i compiti e i doveri del DPO, nonché i motivi per cui la pubblica amministrazione ha nominato la persona specifica per il DPO. A tale scopo, ben può essere utilizzato il modello di atto di designazione fornito dal Garante.

Infine, il DPO della Pubblica Amministrazione deve essere comunicato al Garante; questa comunicazione può avvenire attraverso il modello di comunicazione fornito dall’Autorità italiana.

> Il DPO interno richiede la creazione di un apposito ufficio?

Ai fini dell’art. 38 (2) del GDPR, il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti, nonché per mantenere la propria conoscenza specialistica. Per questo motivo, a seconda delle dimensioni e della struttura dell’organizzazione, potrebbe essere necessario creare un Data Protection Office. In questi casi, a capo dell’ufficio deve essere identificata la persona fisica che svolge il ruolo di DPO (identificato nell’atto di designazione).

> I titolari ed i responsabili del trattamento possono nominare più di un DPO?

Il Garante chiarisce che è fondamentale che vi sia un unico DPO al fine di evitare sovrapposizioni di responsabilità, sia che si opti per un DPO interno che per uno esterno.

> Quali sono i compiti e le funzioni ulteriori che possono essere assegnate a un DPO?

In conformità al GDPR, l’organizzazione deve garantire che qualunque compito e funzione non comporti un conflitto di interessi rispetto alla protezione dei dati.

Il Garante specifica che in ambito pubblico, posizioni confliggenti all’interno dell’organizzazione possono includere posizioni di senior management quale quella del responsabile IT (che determina le misure di sicurezza da applicare ai dati personali) o il responsabile dell’ufficio statistiche (che tipicamente definisce le caratteristiche delle operazioni di elaborazione a fini statistici).

Quando un DPO è condiviso tra numerose pubbliche amministrazioni oppure è un DPO esterno, il Garante raccomanda di essere particolarmente cauti poiché tale condivisione potrebbe portare a situazioni di conflitto di interesse. In tali casi, il DPO dovrebbe fornire garanzie per assicurare l’efficienza, l’accuratezza nonché l’assenza di possibili conflitti di interesse.

Azioni / implicazioni pratiche

Al fine di allinearsi alle indicazioni del Garante, prima di nominare un DPO le autorità e gli organismi pubblici devono:

• valutare il Curriculum Vitae del DPO in cui deve essere data prova delle esperienze in materia di protezione dei dati, considerando le certificazioni relative a master o corsi che indicano il livello di conoscenza acquisito della materia solo come uno strumento utile per la valutazione, ma in nessun caso come un’”abilitazione” a ricoprire il ruolo di DPO;
• designare il DPO prescelto con un formale atto di designazione che specifichi l’identità, le funzioni, i compiti e le mansioni del responsabile della protezione dei dati;
• designare un DPO che non abbia alcun conflitto di interessi;
• valutare se sia necessario creare un team di esperti/Data Protection Office.