DPO nel settore pubblico, il vademecum del Garante privacy: ecco i casi di conflitto di interessi - Cyber Security 360

L'approfondimento

DPO nel settore pubblico, il vademecum del Garante privacy: ecco i casi di conflitto di interessi

Per fare chiarezza sul ruolo del DPO nel settore pubblico e rispondere alle incertezze manifestate da diversi enti, il Garante privacy ha elaborato un documento nel quale si precisano i casi in cui tale figura può incappare nell’ipotesi di conflitto di interesse

25 Mag 2021
C
Marina Rita Carbone

Consulente privacy

Quando il DPO nel settore pubblico rischia di essere incompatibile? Per far chiarezza su questo aspetto, a fronte dell’incertezza manifestata in ambito pubblico nei confronti della figura del DPO, il Garante della privacy ha elaborato un vademecum che racchiude i principali quesiti inerenti a tale ruolo.

Più in generale, il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” è stato preparato proprio per rispondere ai principali interrogativi posti alla sua attenzione nel primo triennio di vigenza del GDPR

Cosa dice il documento del Garante privacy sul DPO 

Di particolare interesse, all’interno del testo, è la sezione dedicata all’analisi delle principali ipotesi di incompatibilità del DPO e di conflitto di interessi:

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
  • nomina di un DPO interno che ricopre incarichi per i quali partecipa all’adozione delle decisioni in materia di finalità e modalità del trattamento, o altre decisioni che impattano sui trattamenti di dati personali;
  • DPO esterno che fornisce servizi IT quale responsabile del trattamento;
  • DPO esterno che rappresenta in giudizio il titolare;
  • DPO interno con qualifica non dirigenziale.

Tale documento, che recepisce al suo interno anche i chiarimenti forniti nelle FAQ sui Responsabile della protezione dei dati in ambito pubblico del 2017, rappresenta una linea guida a tutti gli effetti, ai sensi di quanto previsti dal combinato disposto degli artt. 57 GDPR e 154-bis Codice Privacy. Il Garante si è confrontato anche con gli altri Stati membri, ai sensi dell’art. 61 GDPR, al fine di comprendere se le criticità riscontrate sul territorio nazionale siano presente anche in altri Paesi e quali siano state le iniziative intraprese dagli stessi al fine di porvi rimedio.

GDPR e principi di incompatibilità del DPO

I principi sull’incompatibilità del DPO sono contenuti all’interno dell’art. 38 GDPR, ai paragrafi 3 e 6. L’art. 38 par. 3 GDPR recita: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.

Quanto costa un DPO: gli elementi per una corretta valutazione

Al par. 6 si specifica, poi, che “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

Una spiegazione di cosa il legislatore europeo definisse come “conflitto di interessi” è parzialmente contenuta nel Considerando 97 del GDPR, il quale precisa che, in linea generale, i responsabili della protezione dei dati, siano essi dipendenti o meno del titolare del trattamento, “dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”.

Sulla scorta di tale contenuto normativo, il Garante svolge, dunque, una disamina delle principali criticità legate alla nomina di un RPD il cui ruolo confligge con le prescrizioni di cui all’art. 38, impedendo allo stesso di agire con la necessaria terzietà e indipendenza dal titolare.

Il DPO e la posizione di vertice

All’interno degli enti pubblici, sono stati molteplici i casi in cui il ruolo di DPO veniva affidato a soggetti già demandati ad esercitare ampi poteri decisionali in ordine a finalità e mezzi dei trattamenti posti in essere dal titolare, come:

  • Componenti di un comitato direttivo o di un collegio disciplinare;
  • Titolari di incarichi monocratici come vicepresidente, dirigenti degli affari generali, direttori amministrativi;
  • Soggetti chiamati ad assolvere incarichi in materia di trasparenza e/o di prevenzione della corruzione, gestione delle risorse umane e della contabilità;
  • Responsabili IT;
  • Dirigenti di unità organizzative chiamate a curare la valutazione d’impatto sulla protezione dei dati per uno specifico trattamento.

In relazione ai detti ruoli, il Garante evidenzia come sia particolarmente complesso, da parte del Titolare (se non impossibile) dimostrare, anche tramite il ricorso a idonea documentazione, l’indipendenza del DPO, necessarie per poter esercitare il proprio ruolo in maniera corretta, trasparenza ed imparziale.

In tali casistiche, il conflitto di interessi diviene spesso evidente ictu oculi, quantomeno per quanto riguarda le grandi amministrazioni che dispongono di risorse sufficienti per potersi avvalere di un DPO che sia a ciò esclusivamente dedicato, o che non versi in una situazione di potenziale conflitto di interessi.

Compliance GDPR: perché serve un aggiornamento continuo

In relazione alle piccole amministrazioni, invece, il Garante precisa che il titolare dovrà effettuare una “ponderazione ad hoc, mettendo a disposizione dell’Autorità (laddove necessario) le valutazioni all’uopo effettuate ai sensi degli artt. 5, par. 2, e 24 del Regolamento, al fine di valutare il rischio effettivo di conflitto di interessi nell’ambito e nel contesto dei trattamenti svolti dall’amministrazione”.

Nel caso in cui, tuttavia, il ruolo di DPO sia conferito a soggetti che partecipano a organismi collegiali, ancorché di vertice, la posizione di conflitto di interesse non è direttamente riscontrabile, purchè siano previste specifiche misure di prevenzione, come l’assenza di cumuli di incarichi ulteriori sulla figura chiamata a svolgere il ruolo di DPO.

Nella sostanza, quindi, l’ente dovrà valutare se, sulla base della complessità della struttura organizzativa, della disponibilità di risorse, della numerosità e delicatezza dei trattamenti svolti, nonché della quantità e della qualità dei dati personali trattamenti, l’incarico di RPD possa o meno essere assegnato ad un soggetto interno, piuttosto che a un professionista che possa dedicarvisi a tempo pieno.

Il DPO come responsabile IT esterno

Nelle Linee Guida si prende in esame anche l’ipotesi in cui l’ente decida di conferire il ruolo di DPO a soggetti che forniscono servizi, prevalentemente nel settore IT, in qualità di Responsabili del Trattamento, ex art. 28 GDPR. La situazione di incompatibilità si verificherebbe nel momento in cui sia designata come DPO una persona fisiche che, per ruolo e poteri all’interno della società di servizi, sia in grado di adottare “decisioni che influiscano sulla fornitura dei servizi IT, e quindi impattino sui trattamenti di dati personali effettuati per conto dell’amministrazione titolare (ad esempio, l’amministratore delegato, il direttore amministrativo, o comunque chiunque rivesta un ruolo apicale al suo interno)”.

La sovrapposizione degli incarichi, in tal modo, rende impossibile l’imparzialità sulla sorveglianza delle misure di sicurezza tecniche e organizzative adottate, creando una commistione fra il ruolo del controllore e del controllato. “L’attività di sorveglianza del RPD”, afferma il Garante, “sarebbe pregiudicata, in particolare, in relazione alla valutazione delle caratteristiche richieste per l’avvalimento di fornitori esterni in qualità di responsabili del trattamento – su cui si esprime in maniera chiara l’art. 39, par. 1, lett. b), del Regolamento – proprio perché costui, in ragione del suo diretto coinvolgimento, non potrebbe giudicare, con la dovuta terzietà, i necessari requisiti di affidabilità, né potrebbe supportare adeguatamente il titolare nel processo di definizione del rapporto, ai sensi dell’art. 28 del Regolamento. A ciò si aggiunga l’ulteriore criticità, emersa in alcune specifiche ipotesi, in cui l’ente non abbia previamente stipulato, con il fornitore di servizi IT, l’accordo di cui all’art. 28 del Regolamento: un RPD effettivamente terzo avrebbe segnalato tale violazione e proposto soluzioni idonee a ripristinare la conformità”.

Al fine di evitare che si verifichino simili situazioni di rischio, che avrebbero ripercussioni anche sull’effettivo rispetto degli articoli 33 e 34 GDPR, il Garante enuncia alcune condizioni:

  • il DPO, o anche solo il suo referente persona fisica, non deve essere la persona che riveste una carica apicale nell’azienda, o anche solo nel settore di cui vengono forniti i servizi;
  • deve sussistere, all’interno dell’organizzazione societaria, una rigida separazione tra attività rese come DPO e attività rese come responsabile del trattamento per altri servizi;
  • dovrà essere adeguatamente comprovato il rispetto delle predette condizioni, ai sensi degli artt. 5, par. 2 e 24 del Regolamento, documentando anche le ragioni e il contesto in cui è maturata suddetta scelta.

In assenza di tali condizioni fondamentali, il rischio di conflitto di interessi si presume elevato, integrando una possibile violazione del Regolamento.

DPO e difesa in giudizio

Trattasi del caso in cui, a seguito di un’azione giudiziaria promossa da un cittadino, l’ente si sia costituito in giudizio per il tramite di un avvocato che svolgeva anche il ruolo di DPO nel medesimo ente. Stando a quanto riportato nelle Linee Guida del WP 29, “può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati”, in quanto l’indipendenza di tale soggetto è minata agli occhi dell’interessato.

Per tali motivazioni, a prescindere dalle effettive circostanze del contenzioso, il Garante invita tutte le Pubbliche Amministrazioni a designare un DPO che non svolga, allo stesso tempo, il ruolo di difensore in giudizio delle medesime.

Il DPO dipendente

Da ultimo, il Garante prende in esame l’ipotesi in cui il DPO sia nominato fra i dipendenti con qualifica non dirigenziale. Nel caso in cui tale soggetto abbia una qualifica tale da renderlo sottoposto ad un’altra figura (il caso tipico del funzionario subordinato ad un dirigente), potrebbe non essere possib8ile, per lo stesso, esercitare le proprie mansioni con il dovuto grado di autonomia, e alterare la diretta interlocuzione con il vertice gerarchico dell’ente.

In tal caso, se la struttura organizzativa lo consente, tenendo conto altresì della complessità dei trattamenti, sarebbe opportuno che la designazione sia conferita a un dirigente o ad un funzionario di alta professionalità, che possa svolgere il ruolo di DPO in autonomia e indipendenza, oltre che in collaborazione diretta con il vertice dell’organizzazione.

Nel caso in cui, viceversa, si decida comunque di optare per la designazione di un funzionario, sarà necessario che l’ente adotti specifiche garanzie che permettano al DPO di non subire interferenze per effetto dell’inquadramento del medesimo soggetto all’interno di un’unità organizzativa retta da un dirigente le cui determinazioni potrebbero essere oggetto di diretta valutazione da parte del DPO.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4