Sbaglia il Comune che affida il compito di responsabile della protezione dei dati ad un soggetto apicale della società incaricata anche della gestione tecnica dei sistemi informatici municipali. Oltre all’evidente conflitto di interessi scattano ulteriori problematiche sull’indipendenza e sull’autonomia dello stesso professionista.
Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento del 31 agosto 2023, n. 9936094. Un Comune ha nominato come Dpo/Rpd il direttore amministrativo della società partecipata individuata come responsabile esterno del trattamento ai sensi dell' art. 28 del GDPR e incaricata anche di svolgere attività di supporto privacy per l'osservanza del regolamento europeo. A seguito di una segnalazione il Garante ha avviato un'istruttoria che si è conclusa con l'ammonimento del titolare del trattamento e la pubblicazione del provvedimento sul sito dell'Autorità, anche in relazione al mancato tempestivo aggiornamento del nominativo corretto del responsabile della protezione dei dati . Questo importante soggetto, specifica innanzitutto il collegio, dovrebbe poter adempiere alle funzioni e ai compiti cui è preposto in maniera indipendente. Il Dpo / Rpd non deve ricevere alcuna istruzione per quanto riguarda l'esecuzione di tali compiti e può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi. Inoltre, il Rpd è chiamato , tra le altre cose, a informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati sorvegliare l'osservanza del presente regolamento , di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali , compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo cooperare con l'autorità di controllo e fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento . Con particolare riferimento al conflitto di interessi le linee guida europee del 13 dicembre 2016 specificano che l'assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un Rpd può svolgere altre funzioni, l'affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un Rpd non può rivestire, all'interno dell'organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento . Ma è soprattutto nel documento di indirizzo del Garante nazionale del 29 aprile 2021 che emergono le maggiori criticità nella sovrapposizione della figura del Dpo / Rpd con quella di responsabile dei sistemi informativi perché questo rende impossibile, di fatto, la sorveglianza, con la necessaria imparzialità, sulla validità e sull'adeguatezza delle soluzioni e delle misure, tecniche e organizzative, adottate, dato che i ruoli di controllore e controllato confluirebbero in capo al medesimo soggetto, ingenerando così un evidente conflitto permanente nello svolgimento delle proprie funzioni. In altre parole, si ritiene che l'indipendenza che il cons. 97 del Regolamento richiede in capo al RPD, tradotta nel divieto di conflitti di interessi di cui all'art. 38, par. 6, si troverebbe ad essere minata, in questi casi, proprio in ragione delle istruzioni che, nel suo ruolo di responsabile del trattamento, lo stesso deve ricevere dal titolare, ai sensi dell'art. 28, par. 3, lett. a , andando così a compromettere anche il divieto di ricevere istruzioni di cui al par. 3 dell'art. 38 . Risulta pertanto accertato, conclude il collegio, che la designazione del predetto Rpd è avvenuta in violazione dell'art. 38, par. 6, del Regolamento – in connessione con gli artt. 28, 29 e 38, par. 3, e alla luce del cons. 97 del medesimo Regolamento – per aver designato quale Rpd un soggetto che si trova in conflitto di interessi in quanto titolare di un incarico che concorre all'adozione di decisioni fondamentali sui trattamenti all'interno della Società designata quale responsabile del trattamento da parte del Comune .
Provvedimento del Garante Privacy del 31 agosto 2023, n. 9936094