Il Garante per la privacy ha predisposto un documento di indirizzo su designazione, posizione e compiti del DPO in ambito pubblico (doc. web n. 9589104).

Il documento è stato redatto sulla base dei reclami, delle segnalazioni e dei quesiti pervenuti all’Autorità e, in generale, di tutte le istruttorie condotte e in corso di svolgimento. Nei tre anni di applicazione del GDPR, sono state rilevate numerose incertezze nell’applicazione delle norme concernenti la figura del DPO rendendosi dunque necessario un intervento esplicativo.

Obbligo di designazione

Per il settore pubblico la nomina del DPO è obbligatoria ai sensi dell’art. 37 par. 1 lett. a) del GDPR e costituisce un elemento essenziale per un corretto approccio al trattamento dei dati.

Fermo l’obbligo per tutti i soggetti pubblici (amministrazioni dello Stato anche con ordinamento autonomo compresi gli istituti scolastici, enti pubblici non economici, Regioni e enti locali, Università, Camere di commercio, industria, artigianato e agricoltura, le Aziende del servizio sanitario nazionale) il Garante coglie l’occasione per intervenire sull’obbligatorietà o meno della nomina per i soggetti privati che esercitano comunque compiti di interesse pubblico (per esempio concessionari di pubblici servizi o strutture sanitarie private).

Il documento chiarisce che per questi soggetti l’obbligo di designazione è rimesso ad una valutazione che tenga conto dei criteri di cui all’art. 37 par. 1 lett. b) e c) e dunque della presenza di un monitoraggio regolare e sistematico degli interessati su larga scala oppure di trattamenti, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Requisiti tendenzialmente soddisfatti in questi casi.

Premesso quanto sopra l’Autorità raccomanda in ogni caso la nomina in quanto i trattamenti svolti da questi soggetti sono assimilabili a quelli effettuati dai soggetti pubblici “stante la medesima riconducibilità a compiti di interesse pubblico”.

Designazione di un unico DPO per conto di più soggetti pubblici

Con riferimento alla possibilità prevista dall’art. 37 par. 3 GDPR, per cui più autorità pubbliche o organismi pubblici possono designare un unico DPO, il Garante sottolinea la necessità di effettuare alcune valutazioni nel rispetto del principio di accountability. I soggetti pubblici devono considerare l’effettiva possibilità per il DPO di prestare supporto a tutti i titolari svolgendo adeguatamente i propri compiti in considerazione del tempo a disposizione. Tale circostanza deve essere valutata con maggiore attenzione quando i trattamenti hanno ad oggetto dati particolari o trattamenti su larga scala o quando i soggetti pubblici coinvolti operano in contesti molto differenti tra loro (per esempio Comuni e Istituti scolastici). Il Garante suggerisce allora alcune buone pratiche quali costituire un gruppo di collaboratori a supporto del DPO comune, la definizione preventiva del tempo destinato a ciascun titolare e l’individuazione di un referente interno del DPO per ogni titolare.

Qualità professionali e possesso di titoli

Per quanto riguarda la definizione dei requisiti in base ai quali identificare il DPO, il Garante rileva che il semplice possesso di determinati titoli (laurea, iscrizione albo professionale, certificazione) non determina la competenza a ricoprire l’incarico. I soggetti pubblici devono invece verificare in concreto la capacità di assolvere i compiti ed il possesso delle qualità professionali, in particolare della conoscenza specialistica in materia di protezione dei dati nonché delle norme che caratterizzano lo specifico settore in cui dovrà operare. Ciò significa richiedere una documentata esperienza professionale e/o la partecipazione ad attività formative specialistiche risultanti dal curriculum o dalle autocertificazioni. In altre parole deve essere rispettata la proporzionalità tra i requisiti richiesti e la complessità del compito da svolgere evitando restrizioni all’accesso che possano risultare ingiustificate rispetto alla complessità in concreto dell’incarico.

Designazione di un DPO esterno

Quanto alla designazione di un DPO esterno, alla luce delle questioni emerse in questi tre anni di applicazione del GDPR, il Garante raccomanda di tenere in considerazione alcuni elementi sostanziali.

Si deve considerare il numero degli incarichi già ricoperti, l’eventuale specializzazione e la disponibilità di risorse adeguate. Con riferimento inoltre alla durata, viene raccomandato di valutarne la congruità rispetto alle caratteristiche dell’incarico. Il Garante stima in almeno tre anni il tempo necessario per attuare le misure necessarie richieste. Lo stesso principio deve essere utilizzato per la remunerazione. I soggetti pubblici devono stabilire una cifra congrua per permettere al DPO di svolgere i compiti in modo efficace.

Pubblicazione e comunicazione dei dati di contatto del DPO

L’art. 39 GDPR dispone che il DPO cooperi con l’Autorità rappresentando il suo punto di contatto. In questo modo viene agevolato il ruolo del Garante che può accedere più facilmente ai documenti e alle informazioni necessari a svolgere i propri compiti. Per tali motivazioni il documento considera essenziale ai sensi dell’art. 37 GDPR la comunicazione tempestiva dei dati esatti di contatto del DPO e del loro aggiornamento in caso di sostituzione.

Come previsto sempre dall’art. 37 GDPR ciascun soggetto che designa un DPO è tenuto ad effettuare la pubblicazione dei suoi dati di contatto.

Da questo punto di vista e sulla base delle questioni emerse, il Garante invita le Amministrazioni ad effettuare la pubblicazione sul sito web, all’interno di una sezione facilmente riconoscibile. Quanto ai dati di contatto è imprescindibile che vi sia almeno un indirizzo di posta elettronica. Inoltre, per garantirne effettivamente l’indipendenza, le amministrazioni dovrebbero istituire una casella istituzionale ad hoc attribuita al solo DPO e fare in modo che questi possa essere contattato direttamente senza l’intermediazione di altri uffici.

Coinvolgimento da parte del titolare e svolgimento dei compiti da parte del DPO

Dal punto di vista dell’organizzazione dei compiti del DPO, il Garante riporta alcune buone prassi verificate sul campo. Queste vanno dall’individuazione all’interno dell’amministrazione di un referente a disposizione del DPO, alla condivisione di un’agenda per fissare momenti di dialogo con una congrua periodicità, alla puntuale rendicontazione dell’attività svolta, allo svolgimento dell’attività di formazione. Resta fermo che non possono essere delegate al DPO attività esecutive e connesse responsabilità che spettano al titolare o al responsabile.

Dal punto di vista delle risorse da mettere a disposizione, il Garante invita i soggetti pubblici, soprattutto le grandi e complesse amministrazioni, ad istituire anche team a supporto del DPO magari destinandoci personale con competenze differenziate quali soggetti esperti in ambito IT.

Incompatibilità con altri incarichi e conflitto di interessi

Il documento prende da ultimo in considerazione gli aspetti relativi all’indipendenza ed al divieto di conflitti di interesse per la figura del DPO sia interno che esterno (Artt. 38 e Cons. 97 GDPR). Oltre alle buone pratiche di individuare preventivamente le qualifiche e funzioni incompatibili con l’incarico e redigere regole interne per evitare conflitti di interesse, il Garante si sofferma su alcuni casi concreti. L’Autorità evidenzia dunque la criticità di affidare il compito di DPO ad un soggetto che già fornisca servizi al medesimo ente operando trattamenti per suo conto ai sensi dell’art. 28 GDPR. Per le stesse ragioni di mancanza di indipendenza e di conflitto di interesse invita inoltre a non designare un DPO che, contemporaneamente, svolga il ruolo di difensore in giudizio. Ancora, per i DPO interni, sarebbe preferibile la designazione di soggetti con qualifica di dirigente ovvero di funzionario con alta professionalità che possano operare in modo autonomo ed indipendente ed in collaborazione diretta con il vertice dell’organizzazione. Resta comunque sempre ferma la necessità di analizzare la situazione in concreto nel contesto di riferimento.

Diffusione del documento

Il documento di indirizzo, pubblicato nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.