Data protection

Gli obblighi del titolare del trattamento in merito alle attività che il DPO deve svolgere.

Un provvedimento[1] del Garante della protezione dei dati personali (di seguito, “Garante”) consente di fare il punto su alcuni aspetti di dettaglio che riguardano la figura del responsabile della protezione dei dati (di seguito, anche, “RPD” o “DPO”) e dei rapporti tra questi e il titolare del trattamento.

Il Garante ribadisce come la designazione del RPD debba avvenire, ai sensi dell’art. 37, par. 5,[2] del Regolamento, in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39[3] del medesimo Regolamento).

Peraltro, la nomina del RPD, non esonera il titolare del trattamento dalla verifica del rispetto della normativa in materia di protezione dei dati, sia in relazione all’assolvimento dell’obbligo di fornire le informazioni richieste dal Garante, ai sensi dell’art. 157 del Codice[4], sia con riferimento alla predisposizione e all’adozione di misure volte a prevenire nei confronti di estranei (e, in particolare, del datore di lavoro) un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.

A tale proposito, come affermato dal Garante, responsabilizzare una organizzazione (ente o azienda9 significa attribuirle azioni e decisioni e aspettarsi che ne renda conto. In questo senso, la responsabilizzazione è l’essere tenuti a rispondere delle azioni e delle decisioni che ci competono.[5]

Inoltre, nell’evidenziare che spetta al titolare del trattamento la valutazione dell’analisi del possesso dei requisiti[6] del DPO necessari per lo svolgimento dei suoi compiti, si osserva, altresì, che “la prassi di instaurare contatti, solo saltuari, tra il soggetto pubblico e il proprio RPD (sia interno che esterno) vanifica il senso della presenza del RPD e, con esso, l’approccio di privacy by design e by default promosso dal Regolamento, con conseguenze dirette in capo agli enti stessi in termini di accountability e di inadempimento agli obblighi regolamentari (ad esempio, ai sensi degli art. 82 e 83 del Regolamento). (…).

A tale proposito il Garante Europea per la Protezione dei dati (GEPD)[7] ha stabilito che “il DPO ricopre un ruolo centrale presso la sua istituzione/organismo: i RPD conoscono (cioè devono conoscere) i problemi degli organismi presso cui lavorano (idea di prossimità) e, alla luce del loro status, giocano un ruolo chiave nel formulare pareri e nel cercare di risolvere i problemi in materia di protezione dei dati (di quello specifico organismo)”.

Il Gruppo di lavoro Articolo 29 ha pubblicato le Linee guida sui Responsabili della protezione dei dati (ultima revisione 5 aprile 2017), che contengono le seguenti raccomandazioni (nello specifico si riportano solo quelle strettamente attinenti al tema della presente comunicazione):

  • Sostegno attivo alle funzioni del RPD da parte delle alte dirigenze
  • Accesso garantito ad altri servizi, come risorse umane, ufficio legale , IT, sicurezza, ecc., in modo che il RPD possa ricevere sostegno, aiuto e informazioni ewsenziali

Il GDPR stabilisce che “il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento”.

L’autonomia dei DPO non significa che essi godano di poteri decisionali al di là dei compiti stabiliti per loro all’art. 39 GDPR.

Il titolare o il responsabile rimangono responsabili della conformità alla normativa sulla protezione dei dati e devono poterla garantire. Se il titolare o il responsabile assumono decisioni incompatibili con il GDPR e con i pareri del DPO, egli deve avere la possibilità di formulare un chiaro dissenso ai responsabili di tali decisioni.

Il parere del RPD, e ogni azione intrapresa contro questo parere, devono essere registrati e possono essere utilizzati contro il titolare o il responsabile in caso di indagine da parte del Garante.

Il Garante ha riscontrato che tale atteggiamento può essere imputabile a entrambe le parti: al RPD, in quanto spesso portato a non proporre adeguatamente al titolare le attività necessarie per conformare i trattamenti alla disciplina in materia di protezione dei dati personali; all’ente pubblico, per la tendenza a considerare la nomina del DPO solo come un adempimento formale, non riconoscendo e tantomeno valorizzando i compiti e le potenzialità di questa figura”.[8]

[1] Provvedimento del 26 settembre 2024. Registro dei provvedimenti n. 581 del 26 settembre 2024 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10079346  

[2] Articolo 37Designazione del responsabile della protezione dei dati (C97)

5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

[3] Articolo 39Compiti del responsabile della protezione dei dati (C97)

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

[4] Art. 157 (Richiesta di informazioni e di esibizione di documenti)

1. Nell’ambito dei poteri di cui all’articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante puo’ richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.

[5] Luigi Carrozzi, presentazione alla prima sessione di formazione “T4DATA”, giugno 2018.

[6] La conoscenza specialistica richiesta al DPO attiene ai seguenti ambiti: conoscenza specialistica in materia di privacy e legislazione sulla protezione dei dati nell’UE; buona conoscenza del funzionamento dell’ente o dell’azienda, in cui il RPD viene designato, delle attività di trattamento dei dati da essa operate e abilità interpretativa delle norme relative alla protezione dei dati in tale contesto. In merito ai sistemi IT, l’autorità francese di protezione dei dati (CNIL) ha stabilito che 2Per quanto riguarda l’informatica, si richiede una buona comprensione della terminologia, delle attività IT e delle diverse forme di trattamento dei dati. Un RPD deve possedere, ad esempio, conoscenze in materia di gestione dei dati e sistemi di utilizzo degli stessi, tipologie di software, i sistemi di stoccaggio dei dati e dei file, normative in materia di riservatezza e politiche di sicurezza (cifratura dei dati, firma elettronica, dati biometrici…) Tali conoscenze devono permettere (al RPD9 di controllare la realizzazione dei progetti IT e fornire utili pareri  al titolare responsabile del trattamento”.

[7] Il Garante europeo della protezione dei dati (GEPD) è un’autorità di sorveglianza indipendente il cui obiettivo primario è garantire che le istituzioni e gli organi dell’UE rispettino il diritto alla vita privata e alla protezione dei dati in sede di trattamento dei dati personali e di elaborazione di nuove politiche. (Link: https://it.wikipedia.org/wiki/Garante_europeo_della_protezione_dei_dati )

[8]Cfr. punti 5 e 8 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, documento allegato al provvedimento del 29 aprile 2021 n. 186, doc. web n. 9589467.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

IA
pnrr

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

intelligenza artificiale.
Definizione di sistema di intelligenza artificiale.
13 Maggio 2025
disaster recovery
Adozione di un Piano di disaster recovery e di business continuity alla luce dell’art. 32.1, lett. b) e c) e art. 83.4, lett. a) del Regolamento UE 2016/679 (GDPR).
8 Marzo 2024
ALFABETIZZAZIONE ALL’INTELLIGENZA ARTIFICIALE
l’art. 4 dell’ai-act e l’obbligo di alfabetizzazione all’intelligenza artificiale
3 Aprile 2025

Start typing and press Enter to search