Regolamento Privacy: risulta possibile nominare un Unico DPO per più Enti?

GDPR e Pubblica Amministrazione, alcuni chiarimenti in merito alla applicazione del nuovo Regolamento europeo: si possono assegnare al DPO funzioni extra?

4 Maggio 2018
Modifica zoom
100%
di STEFANO COMELLINI

A poche settimane dalla piena operatività del Regolamento europeo in materia di protezione dei dati personali, sono ancora numerosi i dubbi e gli interrogativi riguardanti la nuova figura ed i compiti del “Responsabile della Protezione dei Dati”, figura nota anche come DPO (acronimo di Data Protection Officer).

Risulta possibile assegnare al DPO ulteriori compiti e funzioni rispetto a quelli previsti dal Regolamento?

Una domanda frequente che mi sento rivolgere è la seguente: è possibile assegnare al DPO, sia che venga designato in ambito privato che in ambito pubblico, ulteriori compiti e funzioni rispetto a quelli previsti dal Regolamento UE 2016/679?
La risposta è: certamente, nulla lo vieta! Ma a condizione che, a seconda della natura dei trattamenti e delle dimensioni della struttura del titolare o del responsabile del trattamento dati, tali ulteriori incombenze non gli sottraggano il tempo necessario per adempiere alle mansioni gli sono attribuite dal GDPR.
Riguardo la Pubblica Amministrazione è recentemente intervenuto sull’argomento il Garante della Privacy con le sue “Nuove FAQ sul Responsabile della protezione dei dati (RPD) in ambito pubblico” (pubblicate nel dicembre 2017). Per il Garante è ragionevole che negli Enti di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al DPO ulteriori responsabilità. Occorre aver riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile del trattamento.
Ad esempio nel caso in cui la funzione di “responsabile per la prevenzione della corruzione e per la trasparenza”venga assegnata allo stesso soggetto designato DPO, considerata la molteplicità di adempimenti incombenti sulla prima funzione, c’è il concreto rischio di un cumulo di impegni tale da incidere negativamente sull’effettivo svolgimento dei compiti attribuiti al DPO.
Inoltre, rispetto alla necessaria assenza di conflitto di interessi, occorre valutare – continua il Garante – se, come indicato nelle stesse Linee guida (adottate dal Gruppo di Lavoro ex art. 29), tali eventuali ulteriori  funzioni assegnate non comportino la “definizione”, in capo al DPO, “di finalità e di modalità del trattamento dei dati”. A grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure investite di “capacità decisionali” in ordine “alle finalità ed ai mezzi del trattamento di dati personali svolti dall’ente”. E’ il caso, a titolo di esempio, della figura del responsabile dei Sistemi informativi (chiamato a individuare le misure di sicurezza necessarie) oppure dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Più Enti locali: l’incarico di DPO ad un solo soggetto

Sugli ulteriori compiti e funzioni del DPO, particolare attenzione, prosegue il Garante, va prestata nei casi di un “unico DPO” per molteplici autorità pubbliche e organismi pubblici, nonché nei casi di DPO esterno, in quanto questi potrebbero svolgere ulteriori compiti in grado di comportare conflitti di interessi oppure non essere in grado di svolgere in modo efficiente le proprie funzioni. In tutti questi casi, nell’atto  di designazione o nel contratto di servizio il DPO deve fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.
La possibilità, per più Enti pubblici, di designare come DPO lo stesso soggetto è stata presa in considerazione in una recente pubblicazione curata dall’ANCI (Associazione Nazionale Comuni d’Italia), facente parte della serie “quaderni ANCI” ed intitolata “L’attuazione negli Enti Locali del nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali”. Nello “schema di regolamento comunale”, allegato alla pubblicazione, si indica, nel caso di Comuni di minori dimensioni demografiche, la possibilità di affidare l’incarico di DPO ad un unico soggetto, anche esterno, designato da più Comuni mediante esercizio associato della funzione. Questo nelle forme previste dal d.lgs. 267/2000 (TUEL).

>> CONSULTA LA NOSTRA PAGINA SPECIALE DEDICATA AL REGOLAMENTO PRIVACY.

FORMAZIONE ONLINE
Il nuovo Regolamento europeo 679/2016 sulla protezione dei dati personali
Corso online per la formazione obbligatoria dei dipendenti nelle Amministrazioni e Aziende Pubbliche

Scrivi un commento

Accedi per poter inserire un commento