Pubblica amministrazione: come scegliere il DPO interno

Come noto l’art. 37, par. 1, lett. a), del Regolamento UE 679/2016 (RGPD) prevede che i titolari e i responsabili del trattamento designino un RPD (DPO nell’accezione inglese) «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Ne segue che a titolo esemplificativo sono tenuti alla individuazione e designazione gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.

Sul punto il considerando 97 aggiunge che i RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida WP 243, che «il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Pertanto, qualora si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. La scelta del RPD andrà formalizzata con uno specifico atto di designazione a Responsabile per la protezione dei dati.

Ai fini del principio dell’accountability (art. 5 RGPD) nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata.

L’importanza della scelta di un DPO competente è stata ribadita anche da un recente provvedimento del Garante privacy del Lussemburgo (Commissione Nazionale per la protezione dei dati – CNPD-) che, ha emesso un provvedimento sanzionatorio di diciottomila euro nei confronti di un ente per aver constatato una struttura organizzativa non conforme alle prescrizioni del RGPD e alle linee guida sul DPO rilasciate dal Comitato Europeo sulla protezione dei dati.