Domanda

Nell’ambito della procedura di adeguamento al nuovo Regolamento Europeo in materia di protezione dei dati personali, il nostro comune ha nominato come Data Protection Officer (DPO) / Responsabile della Protezione dei Dati (RPD) il Segretario comunale che è, anche, Responsabile per la Prevenzione della Corruzione e Trasparenza (RPCT). Le due cariche sono compatibili?

Risposta

La nomina del Data Protection Officer (DPO) / Responsabile della Protezione dei Dati (RPD), nel vortice di adempimenti introdotti con scadenza 25 maggio 2018, è quella che più di tutti è stata ritenuta gravosa.

L’applicazione del nuovo Regolamento Europeo in materia di protezione dei dati personali (GDPR 2016/679) è ispirato dal principio dell’accountability (principio di responsabilità) che, appunto, evidenzia che la tutela degli interessi fondamentali non può prescindere da un cambio di mentalità: gli adempimenti richiesti non possono essere solo formali.

In questo caso specifico, la scelta e la successiva nomina del DPO / RPD deve ricadere su un soggetto effettivamente dotato delle qualità professionali imposte dall’art. 37 del GDPR e, in particolare, “della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Pertanto, la nomina del DPO / RPD non può basarsi esclusivamente su criteri di risparmio di spesa, ma deve concentrarsi sulla verifica e sul successivo mantenimento delle elevate competenze richieste dal GDPR.

Deve, inoltre, essere tenuta in debito conto anche la necessaria indipendenza che deve caratterizzare questa figura: occorre quindi verificare attentamente che non sussistano situazioni di conflitto di interesse.

In base all’art. 38, par. 6, del GDPR, il titolare del trattamento o il responsabile del trattamento devono quindi assicurarsi (non solo in fase di individuazione e nomina del DPO, ma durante tutta la sua attività) che gli altri compiti e funzioni eventualmente svolti da chi è nominato come DPO non diano adito a un conflitto di interessi: i compiti svolti dal DPO non devono confliggere con la protezione dei dati per conto del Titolare o del Responsabile.

Una situazione di conflitto di interessi potrebbe, ad esempio, consistere proprio nel fatto che il DPO possa trovarsi a dover controllare delle situazioni da lui stesso determinate in cui, cioè, si trovi allo stesso tempo ad essere controllore e controllato. Tali situazioni rendono inefficace l’attività del DPO.

Ed è proprio questo il caso da Voi prospettato: la figura del Responsabile per la Prevenzione della Corruzione e Trasparenza (RPCT) è sostanzialmente omologa al DPO, poiché la struttura normativa che sta alla base di entrambe le cariche è quella che si occupa della prevenzione di un rischio: da un lato, il GDPR, dall’altro, della disciplina anticorruzione.

Pertanto,  per non incorrere in provvedimenti (anche sanzionatori) relativi a nomine illegittime, si consiglia di procedere a nuova nomina, comunicando al Garante la revoca dei dati trasmessi.

Sul sito web del Garante è possibile reperire il modello da impiegare a questo indirizzo: https://www.garanteprivacy.it/documents/10160/0/RPD+Comunicazione+dei+dati+di+contatto+Revoca