Il 24 maggio scorso, il Garante per la privacy ha reso disponibile, sul proprio sito istituzionale, un documento di indirizzo su designazione, posizione e compiti del Responsabile Protezione dei Dati (RPD) in ambito pubblico.
L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento UE, si registrano ancora diverse incertezze. Queste impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.
Nell'articolo
Il ruolo del Responsabile Protezione Dati in ambito pubblico
Il Responsabile della Protezione dei Dati costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati; soprattutto ora che le Pubbliche Amministrazioni sono sempre più sollecitate dalla sfida della “trasformazione digitale”.
Un RPD esperto e competente è in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza. Il RPD rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.
Il documento di indirizzo è in corso di pubblicazione nella Gazzetta Ufficiale. Sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.
Il ruolo del Responsabile Protezione Dati in ambito privato
Oltre al documento rivolto alla PA, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il RDP, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative; una figura che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.
Garante della privacy e il Responsabile Protezione Dati in ambito pubblico
Sin da prima che il Regolamento (UE) 2016/679 iniziasse a dispiegare i suoi effetti (25 maggio 2018), l’Autorità ha dedicato grande attenzione al tema del Responsabile della Protezione dei Dati in ambito pubblico; ritenuto questo uno snodo fondamentale per l’acquisizione di un corretto approccio al trattamento dei dati personali.
Le Linee Guida sul Responsabile Protezione Dati
Come noto, sul tema, il Regolamento dedica gli artt. 37-39 (oltreché il cons. 97). In proposito, il Gruppo di Lavoro Articolo 29 (WP29) (poi divenuto Comitato europeo per la protezione dei dati) ha emanato le “Linee guida sui responsabili della protezione dei dati” (adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017).
Le Faq sul RPD in ambito pubblico
Per fare fronte alle prime richieste di chiarimenti giunte nel settore pubblico, al fine di accompagnare il processo di progressivo adeguamento al nuovo quadro regolamentare europeo, il Garante ha successivamente adottato, il 15 dicembre 2017, le “Faq sul Responsabile della Protezione dei dati (Rpd) in ambito pubblico” (reperibili su www.garanteprivacy.it, doc. web n. 7322110).
Incontri e webinar formativi
Al contempo, l’Autorità ha promosso numerosi incontri di carattere divulgativo, che hanno riguardato specificamente la figura del RPD, al fine di raggiungere il maggior numero possibile di rappresentanti di enti pubblici.
Inoltre, dal punto di vista più strettamente formativo, l’Autorità si è fatta parte attiva all’interno del progetto europeo T4DATA, culminato con:
- la redazione di un Manuale operativo sul RPD (doc. web n. 9152344)
- la realizzazione di webinar formativi
- lo svolgimento di eventi di carattere, locale, nazionale e transnazionale.
RPD: le incertezze della Pubblica Amministrazione
Ciò premesso, dal 2018 ad oggi, pur a fronte di una maggiore sensibilità al tema, si registrano ancora, nella realtà delle pubbliche amministrazioni, diverse incertezze; queste impediscono la compiuta realizzazione di questa importante figura e rischiano di pregiudicare una piena adesione ai principi e alle regole della protezione dati; regole che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone.
Le istanze raccolte dall’Autorità Garante
Nel corso di questi anni l’Autorità ha raccolto numerose istanze (reclami, segnalazioni e quesiti) in merito ad alcuni specifici profili relativi alla figura del RPD. Inoltre, la stessa interlocuzione – in frequenti casi, anche la mancata interlocuzione – con i RPD dei vari enti pubblici ha denotato significative problematicità circa il coinvolgimento e l’apporto che questa figura può dare ai titolari del trattamento in ambito pubblico.
L’attività ispettiva
È stata anche promossa, nel corso del 2019-2020, un’intensa attività ispettiva volta ad indagare i fenomeni di affidamento dell’incarico di RPD a società esterne, con particolare riferimento agli aspetti della numerosità degli incarichi accumulati da singole società e dei possibili conflitti di interessi dovuti alla sovrapposizione dei ruoli di RPD e di fornitori di servizi di carattere informatico.
RPD: l’attuazione delle norme di Regolamento
Nell’ambito della complessiva analisi dell’attuazione delle norme del Regolamento dedicate al RPD, sono stati rivolti anche alcuni quesiti alle Autorità degli altri Stati membri dell’Unione europea, sotto forma di assistenza reciproca volontaria (ai sensi dell’art. 61 del Regolamento), al fine di comprendere se le medesime criticità siano state riscontrate anche in altri Paesi e quali iniziative, in proposito, tali Autorità abbiano intrapreso.
Infine, l’Autorità, dopo aver registrato lacune ed inesattezze nella comunicazione dei dati di contatto del RPD, prevista dall’art. 37, par. 7, del Regolamento effettuata in sede di prima applicazione della disposizione, ha altresì avviato una campagna volta ad ottenere la regolarizzazione di tale adempimento, necessario per consentire all’Autorità, con la tempestività richiesta dalle singole circostanze, di stabilire un colloquio con i “punti di contatto” stabiliti presso le singole amministrazioni.
I chiarimenti del Garante
A fronte dei tanti impulsi in tal modo emersi, il Garante ha ritenuto, così, necessario, specialmente per il settore pubblico, fornire dei chiarimenti, al fine di rendere più effettiva ed efficace l’attività del RPD e di mettere il titolare del trattamento nelle migliori condizioni per assicurare il corretto trattamento dei dati personali.
Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore