Manca meno di un mese dall’entrata in vigore del Regolamento Europeo (GDPR) in materia di privacy, ma restano ancora molti dubbi sulla nuova figura del DPO, dei suoi compiti e delle sue responsabilità. Con l’aiuto dell’avvocato Stefano Comellini cerchiamo di fare chiarezza.
È possibile assegnare al DPO ulteriori compiti e funzioni rispetto a quelli previsti dal Regolamento UE 2016/679?
Sì, ma a condizione che tali ulteriori incombenze non gli sottraggano il tempo necessario per adempiere alle mansioni che gli sono attribuite dal GDPR.
Ricordiamo che recentemente il Garante della Privacy è intervenuto sull’argomento con le sue “Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico” .
Per il Garante è ragionevole che negli enti di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità. Occorre aver riguardo alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.
Nel caso in cui la funzione di “responsabile per la prevenzione della corruzione e per la trasparenza” venga assegnata allo stesso soggetto designato DPO, considerata la molteplicità di adempimenti incombenti sulla prima funzione, c’è il concreto rischio di un cumulo di impegni tale da incidere negativamente sull’effettivo svolgimento dei compiti attribuiti al DPO.
Inoltre, rispetto alla necessaria assenza di conflitto di interessi, occorre valutare – continua il Garante – se, come indicato nelle stesse Linee Guida (adottate dal Gruppo di Lavoro ex art. 29), tali eventuali ulteriori funzioni assegnate non comportino la “definizione”, in capo al DPO, “di finalità e di modalità del trattamento dei dati”.
A grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure investite di “capacità decisionali” in ordine “alle finalità ed ai mezzi del trattamento di dati personali svolti dall’ente”.
E’ il caso, a titolo di esempio, della figura del responsabile dei Sistemi informativi (chiamato a individuare le misure di sicurezza necessarie) oppure dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).
Sugli ulteriori compiti e funzioni del DPO, particolare attenzione, prosegue il Garante, va prestata nei casi di un “unico DPO” per molteplici autorità pubbliche e organismi pubblici, nonché nei casi di DPO esterno, in quanto questi potrebbero svolgere ulteriori compiti in grado di comportare conflitti di interessi oppure non essere in grado di svolgere in modo efficiente le proprie funzioni.
In tutti questi casi, nell’atto di designazione o nel contratto di servizio il DPO deve fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.
DPO unico per più enti pubblici
La possibilità, per più enti pubblici, di designare come DPO lo stesso soggetto è stata presa in considerazione in una recente pubblicazione curata dall’ANCI (Associazione Nazionale Comuni d’Italia), facente parte della serie “quaderni Anci” ed intitolata “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”.
Nello “schema di regolamento comunale”, allegato alla pubblicazione, si indica, nel caso di Comuni di minori dimensioni demografiche, la possibilità di affidare l’incarico di DPO ad un unico soggetto, anche esterno, designato da più Comuni mediante esercizio associato della funzione. Questo nelle forme previste dal D. Lgs. 267/2000, noto come T.U. degli Enti Locali.
Sull’argomento segnaliamo
Scrivi un commento
Accedi per poter inserire un commento