Di Sergio Niger ⃰
Sommario: 1. Il RPD: requisiti e nomina; 2. La posizione del RPD; 3. I compiti del RPD
Il Regolamento (UE) 2016/679[1] del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, d’ora in poi RGPD), fondato sul principio di accountability[2] (tradotto in italiano con principio di responsabilizzazione), delinea, in parte, un nuovo quadro giuridico e pone al centro di questo la figura del Responsabile della protezione dei dati (d’ora in poi, RPD). Questa figura non rappresenta una novità assoluta nel panorama europeo, dato che in molti Stati membri, pur non essendo prevista dalla direttiva 95/46/CE, la nomina del RPD è divenuta, nel corso degli anni, una prassi. Anche la Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, contempla all’art. 32 la designazione del RPD: “Gli Stati membri dispongono che il titolare del trattamento designi un responsabile della protezione dei dati. Gli Stati membri possono esentare le autorità giurisdizionali e le altre autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali da tale obbligo”.
Il Gruppo Articolo 29 per la protezione dei dati personali[3] ha più volte sottolineato, prima dell’adozione del RGPD, che la figura del RPD rappresenta un elemento chiave all’interno del nuovo sistema di governance dei dati e una figura fondamentale ai fini della “responsabilizzazione”, e che tale nomina possa rendere più agevole l’applicazione della normativa: “oltre a favorire l’osservanza attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i RPD fungono da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente”[4].
Il RGPD (considerando 97) prevede che “per i trattamenti effettuati da un’autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento. Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.
Ai sensi dell’art. 37, par.1, del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici: a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico; b) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; c) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, sono quindi obbligati a nominare un RPD. Al riguardo, l’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”. L’atto di designazione è parte costitutiva dell’adempimento. Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (Linee guida sui responsabili della protezione dei dati, adottate il 5 aprile 2017), ne rimette l’individuazione al diritto nazionale applicabile. Allo stato, in ambito pubblico, secondo le indicazioni fornite dal Garante per la protezione dei dati personali[5], devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22[6] del Codice in materia di protezione dei dati personali, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.). Al riguardo, occorre richiamare la nozione di “organismo pubblico” come definita al par. 1.3 dell’Allegato alla Raccomandazione n. R (91) 10 del Comitato dei Ministri del Consiglio d’Europa, adottata il 9 settembre 1991: “l’espressione organismi pubblici indica qualsiasi amministrazione, istituzione, ente o altra entità che eserciti funzioni di servizio pubblico o di interesse pubblico tramite prerogative proprie dei pubblici poteri”. Una definizione di “ente pubblico” e di “organismo di diritto pubblico” possiamo rinvenirla anche nell’art. 1, par. 1 e 2, della direttiva 2003/98/CE[7].
Il Garante raccomanda però che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), sarebbe auspicabile, ancorché non obbligatorio, che anche detti soggetti procedessero alla designazione di un RPD.
Qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti (in termini di criteri per la designazione, posizione e compiti) che valgono per i RPD designati in via obbligatoria.
Come già rilevato, nel RGPD non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il Gruppo Art. 29, nelle predette Linee guida, precisa che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico. In questi casi la nomina di un RPD è obbligatoria. E, al riguardo, aggiunge che “lo svolgimento di funzioni pubbliche e l’esercizio di pubblici poteri non pertengono esclusivamente alle autorità pubbliche e agli organismi pubblici, potendo riferirsi anche ad altre persone fisiche o giuridiche, di diritto pubblico o privato, in ambiti che variano a seconda delle disposizioni fissate nel diritto interno di ciascuno Stato membro: trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale. In tutti questi casi la situazione in cui versano gli interessati è probabilmente molto simile a quella in cui il trattamento è svolto da un’autorità pubblica o da un organismo pubblico. Più in particolare, i trattamenti perseguono finalità simili e spesso il singolo ha, in modo analogo, un margine esiguo o nullo rispetto alla possibilità di decidere se e come possano essere trattati i propri dati personali; pertanto, è verosimile che sia necessaria l’ulteriore tutela offerta dalla nomina di un RPD”. Anche se nei casi sopra riportati non sussista l’obbligo di nominare un RPD, il Gruppo di lavoro consiglia che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD.
Con l’espressione “attività principali”, sempre secondo il Gruppo Art. 29, possiamo intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento. Detta espressione (“attività principali”) non va, ovviamente, interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisca una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento.
L’art. 37 del RGPD fa riferimento, per la nomina obbligatoria del RPD, al trattamento di dati personali su “larga scala”. Nel regolamento non figura alcuna definizione di trattamento su “larga scala”. Il considerando 91 fornisce, però, alcune indicazioni al riguardo: per trattamenti su “larga scala” si intendono quelli “che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Pertanto, al fine di stabilire se un trattamento sia effettuato su larga scala è necessario tener conto: del numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; del volume dei dati e/o delle diverse tipologie di dati oggetto di trattamento; della durata, ovvero la persistenza, dell’attività di trattamento; della portata geografica dell’attività di trattamento.
Il RGPD non si sofferma neppure sul concetto di “monitoraggio regolare e sistematico”, al riguardo giova riprendere quanto affermato, nelle predette Linee guida, dal Gruppo Art. 29: “Il considerando 24 menziona il monitoraggio del comportamento di detti interessati ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati. L’aggettivo regolare ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. L’aggettivo sistematico ha almeno uno dei seguenti significati a giudizio del Gruppo di lavoro: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia”. Alcuni esempi di attività che possono comportare il “monitoraggio regolare e sistematico” di interessati possono essere: “curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; attività di marketing basate sull’analisi dei dati raccolti; profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicità comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.”.
Per quanto riguarda la nomina di un RPD, l’art. 37 non distingue fra titolari del trattamento e responsabili del trattamento in termini di sua applicabilità. A seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare del trattamento ovvero il solo responsabile del trattamento, oppure sia l’uno sia l’altro a dover nominare un RPD; questi ultimi saranno poi tenuti alla reciproca collaborazione. Tra l’altro, qualora il titolare del trattamento sia tenuto, in base ai succitati criteri, a nominare un RPD, il suo eventuale responsabile del trattamento non è detto sia egualmente tenuto a procedere a tale nomina, che però può costituire una buona prassi.
L’art. 37, par. 2, del RGPD, permette la designazione di un unico RPD per più organismi (es. gruppo imprenditoriale) a condizione che il responsabile sia “facilmente raggiungibile da ciascuno stabilimento”. Ovviamente, il concetto di “raggiungibilità” è riferito ai compiti del RPD in quanto punto di contatto per gli interessati, l’autorità di controllo e i soggetti interni all’organismo o all’ente, dato che uno dei compiti del RPD, ai sensi dell’art. 39, p. 1, lett. a), consiste “nell’informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento”. Il RPD deve essere in grado di comunicare con gli interessati in modo efficiente. Al riguardo, appare opportuno ricordare quanto previsto dall’art. 12, par. 1, del RGPD “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”. Il RPD deve essere anche in grado di comunicare e collaborare con le autorità di controllo interessate. L’art. 37, par. 3, consente la designazione di un unico RPD per più autorità pubbliche o organismi pubblici, tenendo sempre presente la loro struttura organizzativa e la dimensione. Il titolare o il responsabile, poiché il RPD è chiamato a una molteplicità di funzioni, deve assicurarsi che un unico RPD, se necessario supportato da un gruppo di collaboratori, sia in grado di adempiere in modo efficiente a tali funzioni anche se designato da una molteplicità di autorità e organismi pubblici.
Il RPD è designato un funzione delle qualità professionali, “in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (art. 37, par. 5, RGPD). Al riguardo, il considerando 97 prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Il livello di conoscenza specialistica richiesto, come fatto giustamente rilevare nelle Linee guida del Gruppo Art. 29, non trova una definizione tassativa. Pertanto, andrebbe proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. “Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del RPD, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi”.
Il RGPD all’art. 37, par. 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD. Al riguardo, sarebbe necessario prendere in considerazione la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del RGPD. Viene considerata utile anche la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare del trattamento, nonché una conoscenza delle operazioni di trattamento svolte con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Negli ultimi tempi spesso ci si è chiesti quali certificazioni risultino idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD. Il Garante per la protezione dei dati personali ha ritenuto opportuno precisare che “come accade nei settori delle cosiddette professioni non regolamentate, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento. Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD”.
Nel caso di un’autorità pubblica o di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.
Il RPD deve essere in grado di assolvere i propri compiti, tenendo conto delle qualità personali e delle sue conoscenze, nonché della posizione dello stesso all’interno dell’amministrazione. Il RPD svolge un ruolo chiave, di assoluta centralità, nel promuovere la cultura della protezione dei dati all’interno dell’amministrazione, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali
- La posizione del RPD
Il titolare del trattamento e il responsabile del trattamento devono assicurare che il RPD sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Il RPD va coinvolto, infatti, in ogni questione relativa alla protezione dei dati personali: “Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il regolamento prevede espressamente che il RPD vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare del trattamento ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. Assicurare il tempestivo e immediato coinvolgimento del RPD, tramite la sua informazione e consultazione fin dalle fasi iniziali, faciliterà l’osservanza del RGPD e promuoverà l’applicazione del principio di privacy (e protezione dati) fin dalla fase di progettazione; pertanto, questo dovrebbe rappresentare l’approccio standard all’interno della struttura del titolare/responsabile del trattamento. Inoltre, è importante che il RPD sia annoverato fra gli interlocutori all’interno della struttura suddetta, e che partecipi ai gruppi di lavoro che volta per volta si occupano delle attività di trattamento. Ciò significa che occorrerà garantire, per esempio: che il RPD sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello; la presenza del RPD ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il RPD deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea; che il parere del RPD riceva sempre la dovuta considerazione. In caso di disaccordi, il Gruppo di lavoro raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal RPD; che il RPD sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente”.
L’art. 38, par. 2, del RGPD prevede che il titolare del trattamento o il responsabile del trattamento debbano adeguatamente sostenere il RPD “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.
Il RPD deve poter operare con una certa autonomia all’interno dell’organizzazione del titolare o del responsabile. Il RPD non deve, infatti, ricevere alcuna istruzione per quanto riguarda l’esecuzione dei compiti ad egli demandati. I RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” (Considerando 97). Nell’esecuzione dei compiti attribuitigli dall’art. 39, il RPD non deve ricevere istruzioni sull’approccio da seguire nel caso specifico, quali siano i risultati attesi, come eventualmente condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo, né ricevere istruzioni sull’interpretazione da fornire a una specifica questione in tema di protezione dati. I margini decisionali del RPD sono ben delineati nell’art. 39 del RGPD. Sul punto rilevano correttamente le Linee guida del Gruppo Art. 29 che “Il titolare del trattamento o il responsabile del trattamento mantengono la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale osservanza. Se il titolare del trattamento o il responsabile del trattamento assumono decisioni incompatibili con il RGPD e le indicazioni fornite dal RPD, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso al più alto livello del management e ai decisori. Al riguardo, l’articolo 38, paragrafo 3, prevede che il RPD riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di informazione e consulenza a favore del titolare del trattamento o del responsabile del trattamento. Un altro esempio di tale rapporto diretto consiste nella redazione di una relazione annuale delle attività svolte dal RPD da sottoporre al vertice gerarchico”.
L’art. 38, par. 3, del RGPD mira a potenziare ulteriormente l’autonomia e l’indipendenza del RPD prevedendo che non debba essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. In base all’art. 38, par. 6, al RPD è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare del trattamento o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.
A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.
“In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti che il RGPD attribuisce al RPD” (Garante per la protezione dei dati personali, Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico, www.garanteprivacy.it, docweb 7322110).
- I compiti del RPD
Tra i diversi compiti affidati al RPD, l’art. 39, par. 1, lett. b), del RGPD riconosce al RPD il compito di sorvegliare l’osservanza del Regolamento. Il titolare del trattamento o il responsabile del trattamento, secondo il considerando 97, dovrebbe essere assistito dal RPD nel controllo del rispetto a livello interno del Regolamento.
In particolare, tra i compiti di controllo svolti dal RPD rientrano: la raccolta di informazioni per individuare i trattamenti svolti; l’analisi e la verifica dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.
Sul punto, le Linee guida del Gruppo Art. 29 fanno giustamente rilevare che “Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, “mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (articolo 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del RPD”.
Il RPD svolge un ruolo non secondario nella gestione della valutazione di impatto di cui all’art. 35 del RGPD. Tuttavia, appare opportuno sottolineare che, ai sensi dell’art. 35, par. 1, spetta al titolare del trattamento, e non al RPD, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati[8]. Il RPD svolge, però, un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di detta valutazione. In applicazione del principio di data protection by design, l’art. 35, par. 2, prevede espressamente che il titolare si consulti con il RPD quando svolge una valutazione di impatto. L’art. 39, par. 1, lett. c), del RGPD affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”. Il Gruppo Art. 29 raccomanda che il titolare del trattamento si consulti con il RPD, fra l’altro, sulle seguenti tematiche: se condurre o meno una DPIA; quale metodologia adottare nel condurre una DPIA; se condurre la DPIA con le risorse interne ovvero esternalizzandola; quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate; se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD. Qualora il titolare del trattamento non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
Il titolare del trattamento deve definire con chiarezza (per esempio nel contratto stipulato con il RPD, ma anche fornendo informative ai dipendenti, agli amministratori e, ove pertinente, ad altri aventi causa) i compiti specificamente affidati al RPD e i rispettivi ambiti, con particolare riguardo alla conduzione della valutazione di impatto.
Il RPD deve cooperare con l’autorità di controllo e “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione” (art. 39, par. 1, lett. d ed e). Detti compiti rientrano nel ruolo di “facilitatore” attribuito al RPD, questi funge anche da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti riconosciutele dall’art. 57 del RGPD e ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi previsti all’art. 58 del RGPD. Si è già rilevato che il RPD è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell’Unione o degli Stati membri (articolo 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il RPD di contattare e chiedere lumi all’autorità di controllo. L’art. 39, par. 1, prevede che il RPD possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso.
L’art. 30 del RGPD prevede che il titolare del trattamento o il responsabile del trattamento debbano tenere un registro delle attività di trattamento svolte sotto la propria responsabilità ovvero un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento. “Nella realtà, sono spesso i RPD a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE”. Detto registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare del trattamento o del responsabile del trattamento. “In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell’articolo 30 deve essere considerato anche uno strumento che consente al titolare del trattamento e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell’osservanza delle norme e, pertanto, un’efficace misura di responsabilizzazione”.
Come messo in luce da Antonello Soro[9], Presidente del Garante per la protezione dei dati personali, il protagonista della “rivoluzione” innescata dal RGPD è, accanto al titolare, proprio il RPD: figura da cui dipende la “scommessa” dell’accountability, la capacità cioè di fare della protezione dati non tanto un onere legale da assolvere quanto un elemento di vantaggio competitivo su cui puntare per reggere alle sfide di un mercato sempre più fondato sui dati, dei quali è quindi indispensabile assicurare protezione, qualità, esattezza, sicurezza.
⃰ Responsabile della protezione dei dati dell’Università della Calabria.
[1] Sul Regolamento (UE) 2016/679, cfr. G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017; L. Bolognini, E. Pelino, C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016; S. Sica, V. D’Antonio, G. M. Riccio (a cura di), La nuova disciplina europea della privacy, Padova, 2016.
[2] Per una ricostruzione del principio di responsabilità, si rinvia al parere 3/2010 (adottato il 13 luglio 2010) dal Gruppo di Gruppo di lavoro Articolo 29 per la protezione dei dati.
[3] Dal 25 maggio 2018 il Gruppo di lavoro Articolo 29 ha cessato di esistere ed è stato sostituito dal Comitato Europeo per la protezione dei dati (European Data Protection Board, https://edpb.europa.eu/).
[4] Gruppo di lavoro Articolo 29 per la protezione dei dati, Linee guida sui responsabili della protezione dei dati, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017.
[5] Garante per la protezione dei dati personali, Nuove Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico (in aggiunta a quelle adottate dal Gruppo Art. 29), www.garanteprivacy.it, docweb 7322110.
[6] Sul punto, P. Troiano, Art. 18 – Regole applicabili a tutti i trattamenti effettuati da soggetti pubblici, in C.M. Bianca, F.D. Busnelli (a cura di), La protezione dei dati personali, Padova, 2007, pp. 456-474.
[7] Per ente pubblico si intende “le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico”; con l’espressione organismo di diritto pubblico ci si riferisce a “qualsiasi organismo a) istituito per soddisfare specificatamente bisogni d’interesse generale aventi carattere non industriale o commerciale; e b) dotato di personalità giuridica; e c) la cui attività è finanziata in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico, oppure la cui gestione è soggetta al controllo di questi ultimi, oppure il cui organo d’amministrazione, di direzione o di vigilanza è costituito da membri più della metà dei quali è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico.
[8] Sul punto si rinvia alle Linee-guida del Gruppo Art. 29 concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017 (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).
[9] Sul punto l’intervento di Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali, in occasione della piena applicazione del Regolamento (UE) 2016/679, 25 maggio 2018, Protezione dei dati: garanzia di libertà nella società digitale.
