I CHIARIMENTI DEL GARANTE PRIVACY SUL DPO

21 giugno 2021

Sin da prima che il Regolamento (UE) 2016/679 iniziasse a dispiegare i suoi effetti (25 maggio 2018), l’Autorità Garante della Privacy ha dedicato grande attenzione al tema del Responsabile della protezione dei dati (RPD o DPO) in ambito pubblico, ritenuto uno snodo fondamentale per l’acquisizione di un corretto approccio al trattamento dei dati personali, soprattutto all’interno di un panorama che vede le pubbliche amministrazioni sempre più sollecitate dalla sfida della c.d. “trasformazione digitale”.

Come noto, sul tema, il Regolamento dedica gli artt. 37-39 (oltreché il cons. 97). In proposito, il Gruppo di Lavoro Articolo 29 (WP29) (poi divenuto Comitato europeo per la protezione dei dati) ha emanato le “Linee guida sui responsabili della protezione dei dati” (adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017). Per fare fronte alle prime richieste di chiarimenti giunte nel settore pubblico, al fine di accompagnare il processo di progressivo adeguamento al nuovo quadro regolamentare europeo, il Garante ha successivamente adottato, il 15 dicembre 2017, le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”.

Ciò premesso, dal 2018 ad oggi, pur a fronte di una maggiore sensibilità al tema, si registrano ancora, nella realtà delle pubbliche amministrazioni, diverse incertezze che impediscono una compiuta realizzazione di questa importante figura e che rischiano di pregiudicare una piena adesione ai principi e alle regole della protezione dati, che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone.

Alla luce di ciò, il Garante ha ritenuto necessario fornire dei chiarimenti, al fine di rendere più effettiva ed efficace l’attività del RPD e di mettere il titolare del trattamento nelle migliori condizioni per assicurare il corretto trattamento dei dati personali.

A tale scopo, la predetta Autorità ha adottato il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, il quale ingloba peraltro le FAQ già pubblicate nel 2017; nel documento sono individuabili tre macro argomenti, ossia la designazione del RPD, i suoi compiti e le sue qualità professionali, ed infine le incompatibilità con altre cariche ed i conflitti di interessi. Ogni sezione è suddivisa in tre parti: in primo luogo vengono indicati i riferimenti normativi dell’argomento trattato, in secondo luogo le questioni emerse sul punto e poste all’attenzione del Garante nel corso degli anni e, infine, le misure indicate per superare il quesito e dissipare i dubbi.

In relazione ai singoli profili oggetto di trattazione, il Documento di indirizzo non fornisce indicazioni circa le conseguenze delle violazioni delle disposizioni normative suscettibili di condurre all’avvio del procedimento volto all’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196). A questo proposito, resta fermo che l’accertamento di eventuali illiceità nelle condotte di titolari e responsabili del trattamento sarà oggetto di valutazione caso per caso, a seconda degli elementi che di volta in volta emergeranno nel corso delle singole istruttorie, al fine di riscontrare l’eventuale violazione degli artt. 37, 38 e 39 del Regolamento, oggetto di possibile applicazione della sanzione amministrativa ai sensi dell’art. 83, par. 4, lett. a), del medesimo Regolamento. In ogni caso, le indicazioni contenute nel Documento di indirizzo sono rivolte anche ai RPD, in quanto li impegnano nell’esecuzione dei compiti demandati loro dal Regolamento medesimo.

Per quanto riguarda il settore privato, sensibilmente diverso rispetto al mondo delle pubbliche amministrazioni, con le peculiarità che lo contraddistinguono – a partire dalla circostanza che, ai sensi dell’art. 37, par. 1, lett. b) e c), del Regolamento, la designazione del RPD diviene obbligatoria solo al ricorrere di alcune specifiche condizioni – si evidenzia che le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito privato” sono state oggetto di aggiornamento, da parte dell’Autorità, a fronte dei primi anni di applicazione del Regolamento e contestualmente all’adozione del sopra menzionato Documento di indirizzo.

Avv. Teodoro Sinopoli

Archivio news

 

News dello studio

dic24

24/12/2023

LA RESPONSABILITA’ CIVILE SANITARIA AI TEMPI DELL’INTELLIGENZA ARTIFICIALE IN MEDICINA

LA RESPONSABILITA’ CIVILE SANITARIA AI TEMPI DELL’INTELLIGENZA ARTIFICIALE IN MEDICINA

"Inizia con questo articolo, in tema di Intelligenza Artificiale (IA) e Responsabilità Medica, la collaborazione con il nostro studio legale l'avvocato Marcello Albini". Scopo della presente

nov29

29/11/2023

“LA NUOVA NORMATIVA IN MATERIA DI WHISTLEWBLOWING: COSA DEBBONO FARE GLI ENTI E LE AZIENDE PER METTERSI IN REGOLA”

“LA NUOVA NORMATIVA IN MATERIA DI WHISTLEWBLOWING: COSA DEBBONO FARE GLI ENTI E LE AZIENDE PER METTERSI IN REGOLA”

Il D.Lgs. 10 marzo 2023 n 24 ha apportato modifiche sostanziali alla normativa del cosiddetto Whistleblowing. Si precisa che detta normativa tutela, da eventuali “ritorsioni”, il soggetto

nov21

21/11/2023

IL REGISTRO DELLE ATTIVITA' DI TRATTAMENTO NELLE STRUTTURE SANITARIE: TRA OBBLIGO DI LEGGE E OPPORTUNITA'

IL REGISTRO DELLE ATTIVITA' DI TRATTAMENTO NELLE STRUTTURE SANITARIE: TRA OBBLIGO DI LEGGE E OPPORTUNITA'

"Inizia con questo articolo in tema di PRIVACY nell’ambito SANITARIO la collaborazione con il nostro studio legale l'avvocato Mattia Guido Pignatti Morano di Custoza".   L'entrata

News

apr26

26/04/2024

USA, avvocati e uso dell'IA senza violare la deontologia forense

L’ordine degli avvocati di New York adotta

apr26

26/04/2024

La Commissione EU viola la normativa privacy nell’uso di Microsoft 365

Il Garante europeo rileva varie criticità

apr26

26/04/2024

Intelligenza artificiale: questioni legali nell’ambito agricolo

Regolamentazione di riferimento, opportunità