Nell'era digitale in cui viviamo, la protezione dei dati personali è diventata una priorità assoluta. Le pubbliche amministrazioni, in qualità di custodi di ingenti quantità di informazioni sensibili dei cittadini, devono adottare misure rigorose per garantire la riservatezza e la sicurezza di tali dati. In questo contesto, la figura del Responsabile della Protezione dei Dati (RPD), conosciuto anche come Data Protection Officer (DPO), riveste un ruolo cruciale.

Le Responsabilità del DPO

Il Responsabile della Protezione dei Dati è una figura chiave introdotta dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea. La sua principale funzione è quella di vigilare sulla conformità dell'organizzazione alle normative in materia di privacy e di fungere da punto di riferimento per tutte le questioni inerenti al trattamento dei dati personali.
Le responsabilità del DPO comprendono:

• Informare e sensibilizzare il personale in merito agli obblighi derivanti dal GDPR e dalle altre normative applicabili.
• Monitorare l'attuazione delle politiche di protezione dei dati all'interno dell'organizzazione.
• Cooperare con l'autorità di controllo (il Garante per la Protezione dei Dati Personali in Italia) e fungere da punto di contatto per qualsiasi questione riguardante il trattamento dei dati.
• Fornire consulenza in merito alla valutazione d'impatto sulla protezione dei dati (DPIA) e supervisionarne l'esecuzione.
• Promuovere una cultura di rispetto della privacy e di accountability all'interno dell'organizzazione.

Nomina Obbligatoria del DPO nelle Pubbliche Amministrazioni

Secondo l'articolo 37 del GDPR, tutte le autorità pubbliche e gli organismi pubblici che effettuano trattamenti di dati personali sono tenuti a designare un Responsabile della Protezione dei Dati. Questa disposizione si applica a tutti i livelli di governo, compresi gli enti statali, regionali e locali, nonché agli enti pubblici non economici come università, camere di commercio e aziende sanitarie.
Tuttavia, il Regolamento non fornisce una definizione esplicita di "autorità pubblica" o "organismo pubblico", lasciando agli Stati membri il compito di individuare tali soggetti secondo il diritto nazionale applicabile. In Italia, le Linee Guida adottate dal Garante per la Protezione dei Dati Personali forniscono orientamenti in merito.

Criteri per la Nomina del DPO

La scelta del Responsabile della Protezione dei Dati deve essere effettuata con estrema attenzione, tenendo conto di una serie di requisiti fondamentali.

Competenze Professionali

Il GDPR stabilisce che il DPO debba possedere conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati. Tuttavia, non specifica un livello di certificazione formale obbligatorio. Il livello di competenza richiesto dipende dalla complessità e dalla sensibilità dei trattamenti di dati effettuati dall'organizzazione.
Sebbene non siano vincolanti, alcune certificazioni rilasciate da enti accreditati possono rappresentare uno strumento utile per valutare le competenze del candidato DPO. Tuttavia, la valutazione finale spetta al titolare del trattamento, che deve assicurarsi che il DPO sia in grado di assolvere adeguatamente i compiti previsti dall'articolo 39 del GDPR.

Indipendenza e Assenza di Conflitti di Interesse

Il Responsabile della Protezione dei Dati deve essere in grado di operare in modo indipendente e senza subire pressioni o influenze indebite. Pertanto, è essenziale che non si trovi in situazioni di conflitto di interesse nell'esercizio delle sue funzioni.
Se il DPO è un dipendente dell'organizzazione, è preferibile che ricopra un ruolo dirigenziale o di elevata professionalità, in modo da poter svolgere le proprie funzioni in autonomia e in collaborazione diretta con il vertice dell'ente.
Nel caso in cui il DPO sia un soggetto esterno, è necessario stipulare un contratto di servizi che garantisca l'indipendenza e l'assenza di conflitti di interesse.

Conoscenza dell'Organizzazione

Sebbene non sia un requisito esplicito del GDPR, è auspicabile che il Responsabile della Protezione dei Dati abbia una buona conoscenza dell'organizzazione per la quale opera, delle sue strutture, dei suoi processi e delle sue attività di trattamento dei dati. Questa conoscenza facilita l'identificazione dei rischi e l'adozione di misure di protezione adeguate.

Atto di Designazione del DPO

Indipendentemente dal fatto che il Responsabile della Protezione dei Dati sia un dipendente interno o un soggetto esterno, è necessario formalizzare la sua nomina attraverso un apposito atto di designazione o un contratto di servizi. Questo documento deve contenere:

• L'identificazione inequivocabile del soggetto che opererà come DPO, con le relative generalità.
• I compiti e le funzioni che il DPO sarà chiamato a svolgere, eventualmente anche ulteriori rispetto a quelli previsti dall'articolo 39 del GDPR.
• Le motivazioni che hanno portato alla scelta del DPO, comprese le procedure di selezione interna o esterna effettuate.
• I criteri utilizzati nella valutazione del rispetto dei requisiti previsti dal GDPR.

L'atto di designazione o il contratto di servizi deve garantire che il DPO non riceva istruzioni per quanto riguarda lo svolgimento delle sue funzioni e che possa riferire direttamente al vertice gerarchico dell'organizzazione.

Recenti Orientamenti Giurisprudenziali

Alcune recenti sentenze dei tribunali amministrativi italiani hanno sollevato questioni riguardanti l'affidamento del ruolo di DPO a soggetti esterni alle pubbliche amministrazioni.
In particolare, la sentenza del TAR di Lecce n. 1468/2019 ha affrontato il tema dell'appartenenza della persona fisica che esercita le funzioni di DPO alla società o persona giuridica cui la pubblica amministrazione ha affidato il servizio.
Secondo l'interpretazione del TAR, il soggetto che opera come DPO dovrebbe necessariamente "appartenere" alla persona giuridica, ovvero essere un socio o un dipendente della stessa. Tuttavia, questa interpretazione è stata oggetto di critiche, in quanto sembrerebbe limitare eccessivamente le possibilità di scelta delle pubbliche amministrazioni.
È importante sottolineare che, sebbene la sentenza abbia sollevato dubbi interpretativi, l'obiettivo principale dovrebbe essere quello di garantire che il DPO sia una figura competente, affidabile e in grado di svolgere le proprie funzioni in modo indipendente e imparziale, a prescindere dal suo rapporto contrattuale con l'organizzazione.

Conclusioni

La nomina del Responsabile della Protezione dei Dati rappresenta un passo cruciale per le pubbliche amministrazioni nella tutela della privacy dei cittadini e nella conformità alle normative in materia di protezione dei dati personali.
Seguendo le linee guida fornite dal GDPR e dalle autorità competenti, le pubbliche amministrazioni devono adottare un approccio rigoroso e trasparente nella selezione del DPO, valutando attentamente le competenze professionali, l'indipendenza e la conoscenza dell'organizzazione dei candidati.
Inoltre, è fondamentale formalizzare la nomina attraverso un atto di designazione o un contratto di servizi che definisca chiaramente i compiti, le responsabilità e i requisiti del DPO, garantendo al contempo la sua autonomia decisionale e il rispetto dei principi di accountability e buona amministrazione.
Solo attraverso una gestione efficace e responsabile dei dati personali, le pubbliche amministrazioni potranno guadagnare la fiducia dei cittadini e contribuire a creare un ambiente digitale sicuro e rispettoso della privacy.