Manca meno di un mese dall’entrata in vigore del Regolamento Europeo (GDPR) in materia di privacy, ma restano ancora molti dubbi sulla nuova figura del DPO, dei suoi compiti e delle sue responsabilità. Con l’aiuto dell’avvocato Stefano Comellini cerchiamo di fare chiarezza.
È possibile assegnare al DPO ulteriori compiti e funzioni rispetto a quelli previsti dal Regolamento UE 2016/679?
Sì, ma a condizione che tali ulteriori incombenze non gli sottraggano il tempo necessario per adempiere alle mansioni che gli sono attribuite dal GDPR.
Ricordiamo che recentemente il Garante della Privacy è intervenuto sull’argomento con le sue “Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico” .
Per il Garante è ragionevole che negli enti di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità. Occorre aver riguardo alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.
Nel caso in cui la funzione di “responsabile per la prevenzione della corruzione e per la trasparenza” venga assegnata allo stesso soggetto designato DPO, considerata la molteplicità di adempimenti incombenti sulla prima funzione, c’è il concreto rischio di un cumulo di impegni tale da incidere negativamente sull’effettivo svolgimento dei compiti attribuiti al DPO.
Inoltre, rispetto alla necessaria assenza di conflitto di interessi, occorre valutare – continua il Garante – se, come indicato nelle stesse Linee Guida (adottate dal Gruppo di Lavoro ex art. 29), tali eventuali ulteriori funzioni assegnate non comportino la “definizione”, in capo al DPO, “di finalità e di modalità del trattamento dei dati”.
A grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure investite di “capacità decisionali” in ordine “alle finalità ed ai mezzi del trattamento di dati personali svolti dall’ente”.
E’ il caso, a titolo di esempio, della figura del responsabile dei Sistemi informativi (chiamato a individuare le misure di sicurezza necessarie) oppure dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
Sugli ulteriori compiti e funzioni del DPO, particolare attenzione, prosegue il Garante, va prestata nei casi di un “unico DPO” per molteplici autorità pubbliche e organismi pubblici, nonché nei casi di DPO esterno, in quanto questi potrebbero svolgere ulteriori compiti in grado di comportare conflitti di interessi oppure non essere in grado di svolgere in modo efficiente le proprie funzioni.
In tutti questi casi, nell’atto di designazione o nel contratto di servizio il DPO deve fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.
DPO unico per più enti pubblici
La possibilità, per più enti pubblici, di designare come DPO lo stesso soggetto è stata presa in considerazione in una recente pubblicazione curata dall’ANCI (Associazione Nazionale Comuni d’Italia), facente parte della serie “quaderni Anci” ed intitolata “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”.
Nello “schema di regolamento comunale”, allegato alla pubblicazione, si indica, nel caso di Comuni di minori dimensioni demografiche, la possibilità di affidare l’incarico di DPO ad un unico soggetto, anche esterno, designato da più Comuni mediante esercizio associato della funzione. Questo nelle forme previste dal D. Lgs. 267/2000, noto come T.U. degli Enti Locali.
Sull’argomento segnaliamo
Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione
Dal 25 maggio 2018 il Regolamento (UE) 2016/679 in materia di protezione dei dati personali è direttamente applicato in tutti i Paesi dell’Unione Europea.L’opera, dopo una breve panoramica delle novità più significative introdotte dal Regolamento, con una particolare attenzione agli adempimenti che i soggetti pubblici devono affrontare, si propone di esaminare la nuova figura del “Responsabile della protezione dei dati personali” (anche noto come “DPO”, acronimo di Data Protection Officer). Il testo è strutturato in numerosi quesiti, di taglio pratico-operativo, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy:• Cos’è il Regolamento UE 2016/679? • Quali sono le priorità e i suggerimenti per l’adeguamento? • Quando deve essere designato un DPO? • Chi deve nominarlo? • Chi può essere nominato DPO e quali requisiti sono richiesti? • DPO dipendente oppure soggetto esterno? • Quale atto formale di nomina occorre in ambito pubblico?• Se il DPO è un dipendente pubblico quale qualifica deve avere?• Qual è la posizione del DPO nell’ente? Quali sono i suoi compiti?• È possibile nominare un unico DPO per più enti?Completa l’opera la modulistica, personalizzabile e stampabile, a cura di Nadia Corà e Guido Paratico:1. Modello di deliberazione di definizione degli obiettivi strategici2. Modello di deliberazione di approvazione del Regolamento sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali3. Regolamento sulla protezione dei dati personali4. Modello di accordo interno tra contitolari per il trattamento dei dati personali5. Modello atto di nomina incaricati6. Modello informativa trattamento dati personali7. Modello articolo per trattamento dei dati personali da utilizzare nei capitolati speciali per convenzioni8. Modello articolo per trattamento dei dati personali da utilizzare per le procedure di affidamento dei contratti9. Modello di informativa per il trattamento dei dati personali da utilizzare per iscrizione a newsletter10. Modello di privacy policy da pubblicare sul sitoStefano Comellini, Avvocato in Bologna, patrocinante in Cassazione.Nadia Corà, Avvocato amministrativista e civilista.Guido Paratico, Avvocato penalista e amministrativista.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento