Le nuove linee di indirizzo del Garante Privacy sul ruolo del DPO in ambito pubblico

Il 24 maggio il Garante Privacy ha pubblicato un nuovo documento di indirizzo sulla designazione e sui compiti del DPO (in italiano, RPD Responsabile della Protezione dei Dati).

Sul tema erano già stati pubblicati dei chiarimenti a dicembre 2017, al fine di illustrare il nuovo quadro normativo che sarebbe divenuto applicabile a maggio 2018.

Tuttavia, dopo tre anni dalla piena applicazione del GDPR, si è reso necessario fornire ulteriori precisazioni su questa figura, dato che l’Autorità ha registrato ancora parecchie incertezze applicative.

Questo è particolarmente importante nel settore pubblico, poiché la designazione del DPO è requisito obbligatorio e imprescindibile nella gestione delle attività riguardanti la protezione dei dati personali.

Vediamo, dunque, i punti più importanti delle linee guida.

Obbligo di designazione

Una questione che è emersa riguarda l’obbligo di designazione di un DPO per quei soggetti privati che però svolgono compiti di interesse pubblico, come, ad esempio, i concessionari di pubblici servizi o le strutture sanitarie private.

A tal proposito, il Garante Privacy consiglia di tenere in considerazione le caratteristiche dei trattamenti svolti: se, infatti, la tipologia dei trattamenti fosse assimilabile a quella dei trattamenti svolti da soggetti pubblici, sarebbe comunque raccomandabile designare un DPO.

Viene, dunque, precisato che occorre effettuare la nomina per le società concessionarie dei servizi di trasporto locale o di raccolta di rifiuti, in quanto utilizzano sistemi che comportano il trattamento, su larga scala, di dati di dipendenti e utenti. Anche gli ospedali privati, le case di cura e le residenze sanitarie assistenziali (RSA) si devono ritenere sottoposti a questo obbligo. Non sussiste, invece, l’obbligo per i professionisti sanitari che svolgono la libera professione, per le farmacie e le parafarmacie, per le aziende ortopediche e sanitarie che non svolgono trattamenti su larga scala.

Designazione in casi particolari

Rilevano, poi, due questioni antitetiche inerenti alla designazione di un DPO.

La prima riguarda la possibilità di nominare più DPO per un’unica amministrazione, nel caso si tratti di un’amministrazione complessa, dotata di articolazioni territoriali o settoriali (ad esempio, i Ministeri).

Alcuni soggetti hanno posto questa questione al Garante, il quale ha però precisato che “l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità […] e pertanto occorre che questa sia sempre assicurata”.

La seconda questione, invece, è stata posta in merito alla semplificazione già prevista dal GDPR (art. 37, par. 3), relativa alla possibilità per soggetti con struttura e dimensione limitata di designare un DPO in comune. Tuttora parecchi piccoli Comuni o istituti scolastici sono ricorsi a questa semplificazione.

Ciò che l’Autorità rileva, concerne la necessità di fare un’accurata valutazione di tale decisione, soprattutto tenendo in considerazione la tipologia e la quantità dei trattamenti svolti dai soggetti, nonché il contesto in cui essi operano.

Sarebbe meglio evitare di nominare un DPO in comune per soggetti che si occupano differenti e che, dunque, richiedono un maggiore impegno nell’approfondimento delle specificità.

Designazione di un DPO esterno

La designazione di un DPO esterno al soggetto pubblico è un fatto molto comune, ma richiede una serie di adempimenti e il rispetto di disposizioni specifiche.

Vediamone qualcuna qui di seguito.

Un primo problema si pone in relazione alla designazione di un DPO persona giuridica. Nello specifico, si è riscontrato che, talvolta, il soggetto riportato sugli atti (offerta, contratto di servizi e atto di designazione) non fosse univoco. Su questo punto bisogna fare molta attenzione, accertandosi che le informazioni contenute siano allineate tra loro. Inoltre, in caso di nomina a DPO di persona giuridica, occorre indicare negli atti anche il referente persona fisica, nonché individuare eventuali figure di supporto al DPO.

Un’ulteriore questione riguarda l’accertamento da parte dell’Autorità dello svolgimento da parte di una singola società di numerosi incarichi DPO per diversi soggetti pubblici (anche nell’ordine delle centinaia). In aggiunta, alcune di queste società svolgono anche altri incarichi per lo stesso soggetto pubblico.

Il Garante consiglia alle pubbliche amministrazioni di valutare, in sede di affidamento dell’incarico, alcuni elementi, al fine di prevenire la possibilità di ricevere un’assistenza inadeguata, tra i quali il numero degli incarichi già ricoperti, l’eventuale specializzazione in relazioni alle tipologie di trattamenti svolti e la disponibilità di risorse adeguate.

L’Autorità ha, infine, espresso il proprio parere in merito alla durata e alla remunerazione dell’incarico DPO.

Molte volte la durata dell’incarico viene connessa alla durata del mandato del vertice del soggetto pubblico (ad esempio, il Sindaco di un Comune). Tuttavia, ciò non può essere ammissibile perché si rischia di creare un rapporto incline a minare l’autonomia del DPO, creando una soggezione tra l’organo politico e il soggetto di sorveglianza.

Con riferimento alla remunerazione, il Garante ha riscontrato situazioni in cui i bandi di gara prevedevano compensi estremamente bassi, utilizzando, per di più, il criterio di aggiudicazione del prezzo più basso. A tal proposito, l’ente pubblico dovrebbe fare una valutazione, da un lato, tra le risorse a sua disposizione e, dall’altro lato, la necessità di stabilire una cifra congrua alle competenze e alle attività affidate al DPO.

Conclusioni

Queste sono solo alcune delle questioni rappresentate nel documento di indirizzo, che sicuramente propone spunti interpretativi interessanti e utili per tutti coloro che operano nel settore pubblico. In ogni caso, il Garante ha proceduto ad aggiornare anche le FAQ relative al settore privato, dato che alcune riflessioni presenti nelle linee guide possono essere facilmente trasposte in questo ambito.

Per chiunque fosse interessato ad approfondire il tema, può comunque trovare le informazioni complete sul sito web del Garante.