Il Garante della Privacy con il provvedimento n. 186 del 29 aprile 2021 ha adottato il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”. Tale Documento è allegato al provvedimento stesso e fornisce tutta una serie di indirizzi di dettaglio su come muoversi per scongiurare sanzioni. Di adempimenti in materia privacy da assolvere per evitare le sanzioni ne abbiamo già parlato qualche settimana fa.
Tra le tante indicazioni fornite due ci sono sembrate particolarmente utili da segnalare e riguardano il possesso di titoli specifici e l’atto di designazione.
Il DPO è il punto di contatto con l’Autorità ma ha anche una funzione strutturale. Il titolare del trattamento deve tenerne conto in tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici.
Possesso titoli specifici
Diversi enti richiedono al candidato uno specifico titolo di studio, l’iscrizione ad un particolare albo professionale oppure apposite certificazioni. Questi requisiti non sono stabiliti dal Regolamento o da altre disposizioni normative pertanto escludere alcuni candidati perché privi di alcuni dei requisiti sopracitati potrebbe apparire discriminatorio.
Se è vero che il titolare del trattamento può valutare le qualità ed esperienze professionali maturate in capo alla figura ricercata, in occasione della definizione dei requisiti in base a cui individuare il soggetto, deve evitare restrizioni all’accesso alle selezioni che possano essere considerate ingiustificate. Deve invece tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il DPO sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
L’importanza di formalizzare
Nel caso di nomina di DPO sia interni che esterni si è notata una certa ambiguità nell’assunzione dei ruoli ricoperti. Durante le ispezioni svolte si è rilevata una certa confusione circa i ruoli assunti dai soggetti coinvolti con una sovrapposizione di figure, compiti e atti. Bisogna invece instaurare un rapporto coerente e trasparente.
Nel caso in cui la scelta ricada su una professionalità interna all’ente è necessario formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. Se invece si sceglie una figura esterna è bene includere la designazione nell’apposito contratto di servizi, rendendolo così un allegato costitutivo.
Nell’atto deve essere indicata in maniera inequivocabile la persona fisica o giuridica che opererà come DPO, vanno ovviamente incluse le generalità o, nel caso di persona giuridica, i dati societari. Vanno poi dettagliate le funzioni, nel caso in cui nel tempo vengano assegnati compiti aggiuntivi dovrà essere apportata la modifica e/o integrazione nelle clausole contrattuali.
Infine – nell’atto di designazione o nel contratto di servizi – devono essere indicate le motivazioni che hanno portato il responsabile del trattamento a individuare il proprio DPO per verificare il rispetto dei requisiti previsti dall’art. 37, par. 5 del Regolamento.
Da tenere a mente
Il soggetto individuato come DPO deve essere il medesimo indicato in tutti gli atti quali la domanda di partecipazione alla procedura selettiva, il contratto di servizio (nel caso di affidamento ad un soggetto esterno), l’atto di designazione, le informazioni contenenti i relativi dati di contatto, da pubblicare sul sito web dell’ente e da comunicare all’Autorità.
Se si tratta di una persona giuridica, questa deve indicare, a sua volta, il referente persona fisica. A questo proposito è opportuno che essa sia indicata, già in fase di procedura di selezione e in ciascuno degli atti summenzionati, e che ogni variazione sia coerentemente riportata negli stessi e comunicata all’Autorità, secondo la procedura prevista.
L’individuazione di eventuali figure, sia interne che esterne all’ente, di supporto al DPO, deve avvenire in maniera chiara e trasparente, eventualmente anche all’interno dell’atto di designazione del DPO stesso. Queste ultime non possono ricevere istruzioni dal titolare del trattamento né possono essere legate a quest’ultimo da un rapporto instaurato ai sensi dell’art. 28 del Regolamento.