I suggerimenti del Garante Privacy sulla figura del Dpo in ambito pubblico: non risolto però il nodo Ministeri
Come noto il nostro Garante per la protezione dei dati personali ha reso disponibile sul proprio sito istituzionale il 24 maggio un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (RPD) in ambito pubblico. Effettivamente, a seguito anche di diversi interventi di matrice giurisprudenziale, questi chiarimenti a distanza di tre anni dalla piena applicazione del Regolamento Ue (GDPR), erano divenuti davvero opportuni per le diverse incertezze che fino ad adesso hanno impedito la piena affermazione di questa importante figura, specialmente per il settore pubblico dove tra l’altro è obbligatoria.
(Nella foto: Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Il documento dell’Autorità si rivela illuminante su diverse questioni e rappresenta l’occasione anche per fare il punto della situazione su una materia che specialmente sulla corretta individuazione e designazione delle figure soggettive presenta ancora alcuni punti oscuri.
Neanche l’Autorità, ad esempio, chiarisce in modo esaustivo il problema dei Ministeri che sono difficilmente inquadrabili alla luce della disciplina dettata dal GDPR. Sinceramente in questo caso ci sarebbe stata necessità di qualche suggerimento interpretativo da parte dell’Autorità che purtroppo non è arrivato.
Difatti, di fronte, al dubbio da molti manifestato se con riferimento ad amministrazioni complesse (come i Ministeri), dotate di articolazioni territoriali oppure settoriali, fosse possibile designare più di un RPD, magari assegnandone uno per ciascuna di tali articolazioni, il Garante si è limitato testualmente ad osservare che “l'unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all'ambito interno all'ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata”.
Ciò significa che, presso amministrazioni particolarmente complesse, come i Ministeri, è in ogni caso necessario che venga individuato un solo RPD, in corrispondenza dell’unicità dell’ente quale titolare del trattamento, i cui dati di contatto dovranno essere pubblicati e comunicati all’Autorità ai sensi dell’art. 37, par. 7, del Regolamento, in quanto egli rappresenta il punto di contatto unico, sia per l’Autorità che per gli interessati, pur potendosi avvalere di referenti allocati presso altre articolazioni che gli forniscano il supporto opportuno.
Tale ricostruzione presenta, a parere di chi scrive, un vizio di base e cioè considerare il Ministero in quanto tale unico titolare del trattamento. Difatti, una tale ricostruzione rende difficilmente applicabili molti adempimenti previsti dal GDPR (ad esempio il registro delle attività di trattamento), davvero immane il compito di un unico RPD (o DPO) nonché complesse ed estremamente articolate le gestioni di molti processi con riferimento al trattamento dei dati personali.
Si pensi al Ministero della Giustizia (e quindi ai vari organi giurisdizionali di diverso grado ed ai diversi enti ed uffici dipendenti, al Ministero dell’Interno (e quindi alle Prefetture, Questure ed articolazioni varie), al Ministero della Difesa (e quindi agli Stati Maggiori, Direzioni Generali, miriadi di Comandi, Direzioni, Reggimenti e tanti altri enti ed articolazioni gerarchicamente dipendenti) ed a tanti altri Ministeri.
Tutte le diverse realtà organizzative che compongono i vari Ministeri spesso sono anch’esse strutture complesse, dotate di una propria autonomia e contraddistinte da numerose ed articolate attività di trattamento dei dati personali. Come è possibile farle tutte rientrare nell’ambito di un unico titolare del trattamento? Come può un RPD per quanto strutturato con mezzi e risorse (ma questo non è assolutamente scontato) svolgere al meglio le proprie funzioni considerando che le diverse articolazioni di cui si compone un Ministero sono dislocate e quindi distribuite in modo organico su tutto il territorio italiano?
Forse l’Autorità in questo documento avrebbe potuto approfondire con maggiore attenzione l’intera problematica alla luce anche delle enormi difficoltà applicative del d.lgs. n. 51/2018, che con riferimento al mondo giudiziario ha recepito la direttiva UE n. 680/2016.
Si comprende, indubbiamente, che, innanzitutto, esiste l’ostacolo del dettato normativo che lascia pochi spazi interpretativi. Inoltre qualsiasi interpretazione più ampia del GDPR deve passare al vaglio delle altre Autorità di controllo europee nel rispetto dei principi di cooperazione e di coerenza, ma era forse questo il momento per suggerire quanto meno qualche soluzione operativa ai diversi Ministeri anche per evitare che vengano adottate (come sta accadendo) soluzioni diverse con inevitabile confusione.
Del resto la stessa Autorità ha riconosciuto che i Ministeri sono amministrazioni complesse e che è possibile ricorrere a referenti. Di conseguenza prendendo spunto da questi elementi si potevano indicare delle best practices in ambito organizzativo prevedendo, ad esempio, la costituzione di comitati costituiti da rappresentanti di diversi enti che possano coadiuvare il RPD, oppure prevedere un ufficio articolato del RPD distribuito in diversi ambiti territoriali.
Anche se non si può ignorare che in questo periodo il Garante deve gestire un gran numero di fronti aperti, e da tempo la stessa l’Autorità richiama l’attenzione sulla necessità di potenziare il proprio organico, d’altra parte su questi temi ci si sarebbe aspettato qualche approfondimento in più.
