Compatibilità responsabile protezione dati con ruoli nell’organizzazione

Il responsabile per la protezione dati non può rivestire nell’organizzazione del titolare altri ruoli che comportino la definizione delle finalità o delle modalità del trattamento. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti: responsabile protezione dati e altri ruoli

Il Garante per la protezione dei dati personali effettuava un controllo sul sito web istituzionale di un Consorzio comunale siciliano dal quale non riusciva a reperire i dati di contatto del Responsabile della protezione dei dati personali (RPD) e non risultava che il Consorzio avesse effettuato la comunicazione dei dati di contatto di tale soggetto al Garante stesso.
Pertanto, l’Ufficio notificava al Consorzio l’avvio del procedimento per l’adozione dei provvedimenti per la mancata pubblicazione dei dati di contatto del RPD e per non aver comprovato che lo stesso fosse stato effettivamente designato, invitando il Consorzio a fornire chiarimenti in merito.
Il Consorzio comunicava di aver da tempo provveduto alla nomina del RPD con apposito provvedimento e che il soggetto designato già ricopriva il ruolo di responsabile di diversi servizi all’interno dell’Ente e precisamente dei sistemi informatici, del Turismo e del servizio legale. In secondo luogo, il Consorzio riferiva che i dati di contatto di tale soggetto erano già presenti sul sito web istituzionale ben prima che fosse notificata la Nota del Garante e produceva le relative schermate del sito web.
Infine, il Consorzio precisava che, a seguito della comunicazione del Garante, aveva provveduto ad effettuare una ulteriore pubblicazione sul sito web dove vi erano tutti i dati di contatto e i riferimenti direttamente nella home page e facilmente riconoscibili. Invece, il Consorzio procedeva alla comunicazione dei dati del RPD al Garante soltanto dopo aver ricevuto la comunicazione dell’autorità.
Preso atto delle suddette difese del Consorzio, il Garante notificava un’ulteriore apertura del procedimento per adozione dei relativi provvedimenti sanzionatori nei confronti del Consorzio, in quanto dalle stesse dichiarazioni di quest’ultimo era emerso che il ruolo di RPD era stato affidato a un soggetto, che in ragione degli ulteriori compiti sul medesimo incombenti, non era in possesso delle necessarie risorse, anche sotto il profilo temporale, per poter svolgere al meglio le funzioni proprie di RPD ed inoltre in quanto si trovava in possibile situazione di conflitto di interesse. Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni

2. La valutazione del Garante

Il Garante ha precisato che il Regolamento Europeo per la protezione dei dati personali (GDPR) impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo (quale appunto il Garante medesimo). L’obiettivo delle norme del GDPR sul punto è quello di garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile.
In secondo luogo, il Garante ha precisato che tra le risorse che il titolare del trattamento deve assegnare al RPD c’è anche il tempo sufficiente per poter svolgere i compiti che sono affidati allo stesso RPD. La mancanza di tempo sufficiente per poter svolgere i compiti affidatigli, comporta infatti il rischio che dette attività vengano trascurate a causa di conflitti con altre priorità. In altri termini, secondo il Garante, il RPD deve disporre di tempo sufficiente da dedicare allo svolgimento dei compiti che gli sono stati assegnati, in quanto la funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto.
Infine, il Garante ha precisato che l’assenza di conflitti di interessi del RPD è strettamente connessa agli obblighi di indipendenza previsti dalla normativa.
Infatti, anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. La valutazione della sussistenza di un potenziale conflitto di interessi deve essere valutato caso per caso, guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. A titolo esemplificativo, secondo il Garante, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice, quali amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT, responsabile dei sistemi informativi o dell’ufficio di statistica, ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, più in generale, il RPD non può essere chiamato a svolgere, in prima persona, attività che, in base al GDPR, competono al titolare/responsabile.

3. La decisione del Garante

Nel caso di specie, il Garante ha ritenuto che dall’istruttoria sia emerso che la designazione del RPD sia avvenuta solamente dopo oltre tre anni e mezzo dall’entrata in vigore del GDPR, che impone tale obbligo in capo ai soggetti pubblici (tra cui rientra anche il Consorzio). Inoltre, è emerso che il Consorzio ha provveduto alla comunicazione all’Autorità dei dati di contatto del RPD solamente oltre un anno dopo la designazione del medesimo e in seguito all’invio della nota da parte dell’Autorità medesima con la quale veniva contestato il predetto inadempimento.
Per quanto riguarda l’omessa pubblicazione dei dati di contatto del RPD sul sito web, le schermate prodotte dal Consorzio non dimostrano l’effettiva ostensione dei dati di contatto del RPD, in quanto esse riportano l’atto di designazione (che non reca i dati di contatto), nel quale sono indicati i riferimenti della persona fisica, quale responsabile del Servizio legale e Contenzioso, ma senza alcuna menzione dell’incarico di RPD. Secondo il Garante, nessuno di tale contenuti rende chiaramente intellegibili all’utente i dati di contatto del RPD.
Infine, è emerso che l’affidamento dell’incarico di RPD a un soggetto già titolare di altri incarichi di responsabile di più servizi di un’amministrazione – come, nel caso di specie, quello di “responsabile di Segreteria del Dirigente del Settore I, Assistenza agli Organi, Sistemi Informatici, Turismo e in ultimo del Servizio Legale – comporta la possibilità che il soggetto in questione non adempia ai compiti che il GDPR assegna al RPD in maniera piena, effettiva e completamente autonoma, a causa dell’assenza delle risorse necessarie, soprattutto in termini di tempo, e all’esercizio di funzioni che hanno dato o comunque avrebbero potuto dare adito a un conflitto di interessi.
In considerazione di tutto quanto sopra, il Garante ha ritenuto che le predette violazioni del GDPR da parte del Consorzio impongono l’applicazione di una sanzione amministrativa pecuniaria a suo carico, quantificata – in ragione delle circostanze del caso concreto – in €. 6.000 (seimila).