Approfondimenti

Il ruolo del Responsabile della protezione dei dati

Si tratta del soggetto deputato al controllo del rispetto del GDPR e deve operare, quindi, con l’esigenza di non comprometterne la realizzazione degli obiettivi

Aggiornato il 31 Mar 2023

gdpr sanzioni

Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura disciplinata dagli artt. 37 e seguenti del RGPD, o anche GDPR ed è, sostanzialmente, colui che, dotato di una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, assiste il titolare del trattamento o il responsabile del trattamento.

È quindi il soggetto deputato al controllo del rispetto del RGPD e, infatti, tra i suoi compiti vi è quello di sorvegliare l’osservanza dello stesso e, anche, le altre disposizioni relative alla protezione dei dati [cfr. art. 39, par. 1, lett. b)].

Il responsabile della protezione dei dati quale assistente del titolare/responsabile del trattamento

Più precisamente, secondo anche quanto precisato dal Garante, nelle FAQ dal medesimo elaborate e diffuse, si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD.

A tal fine, dev’essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo, art. 38, par. 1, del GDPR).

Sul tema in argomento si segnala il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” (provvedimento del 29 aprile 2021) del Garante per la privacy che interviene per fornire dei chiarimenti su diverse incertezze registratesi che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il documento evidenzia come il RPD costituisca un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le PA sono sempre più sollecitate dalla sfida della “trasformazione digitale”. Un RPD – si evince dal documento – esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta, infatti, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il DPO coopera, infatti, con l’Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del GDPR).

La posizione del responsabile della protezione dei dati

Se il DPO è l’assistente del titolare/responsabile, affinché operi correttamente e nel loro precipuo interesse, la normativa europea richiede agli stessi di sostenerlo nell’esecuzione dei propri compiti (indicati all’articolo 39), fornendogli le risorse necessarie per assolvere a tali compiti e accedere ai dati personali e ai trattamenti e, anche, per mantenere la propria conoscenza specialistica.

Inoltre, il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Ed è per questo che il legislatore europeo ha espressamente previsto: il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento (art. 38, par. 3).

Come ricorda l’EDPB, con le Linee guida WP243 sui Responsabili della Protezione dei Dati, però, garantire indipendenza e autonomia al DPO “non significa che quest’ultimo disponga di un margine decisionale superiore al perimetro dei compiti fissati nell’articolo 39.”

responsabile protezione dati

Il processo di selezione del DPO

Ecco, allora, che assume rilievo preminente la verifica del processo di selezione del DPO. Sul punto si ritiene estremamente importante, all’atto della designazione, l’esigenza di tenere in debito conto del c.d. bisogno di “prossimità” fra il RPD e l’organizzazione per il quale lavora, come precisato dal GEPD [Position paper on the role of Data Protection Officers in ensuring effective compliance with Regulation (EC) 45/2001] per il quale: “Il DPO ricopre un ruolo centrale presso la sua istituzione/organismo: i RPD conoscono [cioè devono conoscere] i problemi degli organismi presso cui lavorano (idea di prossimità) […]”.

Ciò posto, occorrerà attentamente valutare la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e la capacità di assolvere i compiti di cui all’articolo 39. E il processo di selezione dovrà dare evidenza di tali elementi.

Occorrerà, poi, verificare che non sussistano conflitti d’interesse. Infatti, se è consentito al DPO di svolgere altri compiti e funzioni, il titolare del trattamento (o il responsabile del trattamento) si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi (art. 38, par. 6).

Sarà necessario evitare di compromettere la realizzazione degli obiettivi del GDPR. Ed infatti, la Corte di Giustizia europea (nella causa C‑453/21, X-FAB Dresden GmbH & Co. KG Contro FC) ha precisato che “una protezione rafforzata del RPD che impedisca qualsiasi sua rimozione nell’ipotesi in cui non sia o non sia più in grado di adempiere i propri compiti in piena indipendenza a causa dell’esistenza di un conflitto di interessi comprometterebbe la realizzazione di tale obiettivo.” (cfr. punto 34).

Gli incarichi del Responsabile protezione dati

Ecco che una protezione rafforzata del DPO non può compromettere la realizzazione degli obiettivi del GDPR. E tanto si verificherebbe se essa impedisse qualsiasi rimozione, da parte di un titolare del trattamento o di un responsabile del trattamento, di un RPD che non possieda più le qualità professionali richieste per assolvere i suoi compiti, ai sensi dell’articolo 37, paragrafo 5, del GDPR, o che non li svolga in conformità alle disposizioni di tale regolamento (cfr., in tal senso, sentenza della Corte di Giustizia del 22 giugno 2022, Leistritz, C‑534/20, punto 35).

Il RPD non può allora essere incaricato dell’esecuzione di compiti o funzioni che possano compromettere l’esercizio delle funzioni che egli svolge in qualità di RPD.

Le disposizioni in parola mirano essenzialmente a preservare l’indipendenza funzionale del RPD e, pertanto, a garantire l’efficacia delle disposizioni del GDPR.

D’altra parte, il RPD ha il compito, in particolare, di sorvegliare l’osservanza del GDPR e di altre disposizioni relative alla protezione dei dati e, quindi, un RPD “non può essere incaricato di svolgere compiti o funzioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento dei dati personali presso il titolare del trattamento o il responsabile del trattamento. Infatti, conformemente al diritto dell’Unione o al diritto degli Stati membri in materia di protezione dei dati, il controllo di tali finalità e mezzi deve essere effettuato in modo indipendente dal RPD” (cfr. punti 43 e 44).

Focus dei Garanti europei sul ruolo dei responsabili della protezione dei dati

Sul tema si segnala che il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).

Sostanzialmente, per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 GDPR e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:

– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;

– avvio di accertamenti formali;

– follow-up degli accertamenti formali in corso.

I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE.

L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività. Si tratta della seconda iniziativa nell’ambito del Coordinated Enforcement Framework (CEF). Le iniziative del CEF mirano ad armonizzare l’attuazione delle norme e la cooperazione tra le autorità di controllo.

Nel 2022, il tema prescelto è stato l’uso dei servizi cloud da parte del settore pubblico. Il 18 gennaio 2023 è stata pubblicata una relazione sui risultati di questa prima iniziativa del CEF (cfr. Doc-Web 9864636).

Articolo originariamente pubblicato il 31 Mar 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3