L’importanza del DPO negli equilibri della governance pubblica: quando la concentrazione di altri incarichi di vertice dentro l’amministrazione, può determinare rischi da conflitto d’interesse e condizionare l’attività dei controlli: focus del Dott. Avv. Renzo Cavadi.
Ecco alcuni chiarimenti sull’importanza della funzione del DPO in ambito pubblico: la designazione dell’Amministrazione fra affidamenti esterni o scelte in house.
Cosa rappresenta il DPO e perché è importante negli equilibri di governance pubblica?
Il Data Protection Officer (DPO) e cioè il Responsabile della Protezione dei Dati, più comunemente conosciuto con l’acronimo di RPD, rappresenta una figura di estrema importanza nel mondo giuridico, non solo per le aziende e le imprese ma anche per la Pubblica Amministrazione.
Introdotto per volontà legislativa unoniale nel contesto del famoso GDPR (Reg. UE 679/2016) ([1]), tale figura ha impattato sul settore della privacy ([2]), rivoluzionando diverse dinamiche e certi assetti rispetto alla normativa precedente. Nell’idea del legislatore europeo il DPO infatti, nasce con la precisa funzione ([3]) di affiancare sia il titolare che il responsabili del trattamento, affinché conservino i dati personali in maniera corretta, prevengano e gestiscano i rischi, seguendo i princìpi e le indicazioni in ambito europeo.
Il DPO nella sua attività di consulenza ed assistenza, fornisce pareri in merito alla valutazione d’impatto sulla protezione dei dati, ha compiti di alta sorveglianza nei confronti dell’Ente, e come vocatio legislativa, è chiamato a cooperare costantemente con il Garante Nazionale per la protezione dei dati del quale costituisce l’interfaccia per ogni amministrazione ([4]).
Il DPO se vogliamo, è una sorta di supervisore indipendente che dove supportare il titolare e il responsabile della privacy, nel garantire che l’organizzazione sia conforme alle indicazioni normative previste all’interno del GDPR ([5]). Si tratta di una funzione organizzativa nevralgica per gli equilibri dell’Ente, la quale può essere assimilata per le caratteristiche di indipendenza e di terzietà, al ruolo dell’organismo di vigilanza in base al D. lgs. n. 231/2001 o a quello del responsabile dell’anticorruzione e trasparenza previsto dalla legge n. 190/2009.
La nomina del DPO
Ciò premesso, va detto che secondo quanto previsto dal comma 1 dell’articolo 37 del GDPR, la nomina del DPO è obbligatoria nell’ambito del settore pubblico ([6]).Tale obbligo infatti, a differenza dalle aziende private per le quali si opera una diversificazione in base alle dimensioni aziendali, vale indifferentemente per tutte le Pubbliche Amministrazioni.
Tutte le amministrazioni dunque sono obbligate a dotarsi di un DPO ([7]) e il motivo non è difficile da intuire: la nomina di tale soggetto, costituisce un riferimento fondamentale per garantire un corretto e moderno approccio al trattamento dei dati personali anche alla luce dell’avvertita necessita di accompagnare la trasformazione degli enti e delle amministrazioni pubbliche verso i processi di una nuova digitalizzazione 4.0 ([8]). La sua funzione è dunque centrale e determinante nel garantire piena efficacia al principio di “accountability”.
La scelta del DPO da parte dell’amministrazione, può seguire due strade alternative e cioè una nomina interna o esterna all’amministrazione. Il comma 6 dell’art. 37 del GDPR specifica che “Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi” ([9]).
Nel caso in cui si opti per un DPO interno, secondo la giurisprudenza amministrativa sarebbe preferibile, ove la struttura organizzativa lo consenta che la designazione sia conferita (per la sua nomina è necessario un apposito atto di designazione da parte dell’Amministrazione), a un dirigente ovvero a un funzionario di alta professionalità̀ con spiccate competenze giuridiche e informatiche ([10]), che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. Il perché di tale suggerimento trova la sua ratio nell’articolo 38 del GDPR: si deve evitare a monte un potenziale conflitto di interesse e dunque evitare l’incompatibilità quantomeno con altri ruoli altrettanto delicati, ricoperti dallo stesso DPO all’interno dell’amministrazione ([11]).
I profili di autonomia e indipendenza del DPO all’interno dell’amministrazione pubblica. I potenziali casi di conflitto d’interesse quando assume contestualmente le funzioni di Segretario Comunale e di RPCT
Evidenziato come la designazione del DPO in ambito pubblico assume un ruolo strategico e di rilevante importanza, si comprende bene come la scelta di tale soggetto, nel contesto delle coordinate sulla privacy inserite nel GDPR, rappresenta un adempimento da non sottovalutare per ogni amministrazione e non ultimo per gli enti locali ([12]).
Orbene, tra i diversi temi di approfondimento che intercettano la figura di nuovo conio del DPO, una delle questioni più controverse e che ancora adesso continua a sollevare criticità riguarda la compatibilità della funzione del DPO con quella di altri ruoli contestualmente assegnati all’interno dell’amministrazione pubblica rectius dell’ente locale, su tutti quello del Segretario Comunale, specialmente quando quest’ultimo, si trova ad assumere e ricoprire anche la funzione di Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT).
Lo sviluppo di tale problematica e lo vedremo a seguire, si muove lungo un crinale di analisi frutto delle più recenti interpretazioni normative e dei pareri delle autorità competenti in materia e cioè il Garante della Privacy e l’ANAC.
Ad un attento esame infatti, la prima preliminare considerazione da fare è che la dimensione di incompatibilità tra il DPO e il Segretario comunale si evince implicitamente dalla natura dei ruoli ricoperti o assegnati.
Il Segretario Comunale, in quanto organo di vertice dell’amministrazione ([13]), svolge ex lege funzioni di coordinamento e sovrintendenza che si pongono inevitabilmente in potenziale conflitto d’interessi con il requisito fondamentale di autonomia e indipendenza ([14]), richiesto per il DPO dall’art. 38 del GDPR” ([15]). Di contro, si potrebbe obiettare che il Segretario Comunale avrebbe tendenzialmente un rapporto organico o al massimo funzionale con l’amministrazione e di servizio e stretto legame soltanto con il Ministero dell’interno, configurandosi al più come una figura diciamo oggettivamente terza, non essendo realmente dipendente dell’Ente locale.
In ogni caso questo attrito e questo iato che viene a determinarsi tra DPO e il Segretario dell’Ente locale, si manifesta proprio nelle attività che quest’ultimo si trova a dover assumere con una certa frequenza, nel momento in cui assume decisioni che coinvolgono inevitabilmente il trattamento di dati personali.
La bussola orientativa offerta dalle recenti interpretazioni normative fornite dal GPDP e i chiarimenti espressi dall’ANAC
Come sottolineato in precedenza, a fornire una bussola orientativa sul tema di cui si discute, ci hanno pensato rispettivamente e per il rispettivo ambito di competenze, sia il GPDP che l’ANAC.
Il Garante per la protezione dei dati personali si è occupato della questione nel “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico” (n. 186 del 29 aprile 2021).
Il documento del GPDP preliminarmente precisa come “L’Autorità ha riscontrato numerose situazioni in cui viene nominato, quale RPD, un soggetto che svolge altri compiti che possono determinare un’incompatibilità o una situazione di conflitto di interessi, in quanto tali ulteriori incarichi gli impediscono di svolgere la propria attività di RPD con la necessaria indipendenza”. Non è allora un caso se “le Linee guida del WP29 raccomandano buone pratiche, quali quelle di individuare preventivamente le qualifiche e funzioni che sarebbero incompatibili con quella di RPD e redigere regole interne onde evitare conflitti di interessi. Tuttavia, all’atto pratico, non è stata riscontrata una diffusa sensibilità sull’argomento”.
Ciò posto nel documento in oggetto, si sottolinea espressamente l’incompatibilità tra il ruolo di RPD e quello di vertice dell’amministrazione pubblica, evidenziando come l’RPD non possa ricoprire contemporaneamente più ruoli, compiti e funzioni che comportino la definizione delle finalità e delle modalità di trattamento dei dati. A tal proposito così si legge: “per quanto concerne incarichi di carattere monocratico (quali quelli di dirigente direttamente coinvolto da trattamenti, o addirittura di vertice dell’ente), il conflitto di interessi spesso, diviene evidente icto oculi, e difficilmente si rende possibile comprovare, da parte del titolare del trattamento, che il medesimo soggetto che determina i trattamenti rientranti nel proprio settore abbia la necessaria indipendenza per esercitare, in maniera corretta, trasparente ed imparziale, quei compiti di sorveglianza sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali, previsti dall’art. 39, par. 1, lett. b), del Regolamento”.
I chiarimenti sul DPO da parte dell’ANAC
Anche l’ANAC dal canto suo ha fornito ulteriori e preziosi chiarimenti attraverso diversi interventi. In particolare l’Ufficio Studi dell’Autorità Nazionale Anticorruzione con la delibera n. 1074 del 21 novembre 2018, ha affermato con estrema chiarezza, la necessità di evitare la sovrapposizione delle due figure di RPCT e DPO (se interno) nella stessa persona lasciando emergere come il cumulo contestuale di queste funzioni, può generare infatti non trascurabili conflitti di interesse ([16]).
L’ANAC evidenzia il rischio concreto che “la sovrapposizione dei due ruoli possa rischiare di limitare l’effettività dello svolgimento concreto delle attività amministrativa riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e responsabilità che la normativa attribuisce sia al RPD che al RPCT ([17])”. Il concetto viene ribadito successivamente nel momento in cui nel documento, si esplicita che per le questioni di carattere generale riguardanti la protezione dei dati personali “il RPD costituisce una figura di riferimento anche per il RPCT, anche se naturalmente non può sostituirsi ad esso nell’esercizio delle funzioni” ([18]).
Del resto sarebbe anche prudente per non dire ragionevole, che negli enti pubblici di grandi dimensioni (con trattamenti di dati personali di particolare complessità e sensibilità), non vengano assegnate al DPO ([19]) ulteriori responsabilità ([20]). Sul punto l’ANAC evidenzia come “in tale quadro, avuto riguardo caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti che il RGPD attribuisce al RPD”.
La rigidità di tale regola secondo l’ANAC, può essere mitigata o al più tollerata da alcune eccezioni le quali però devono essere adeguatamente motivate e giustificate dai vertici dell’Ente locale in nome dell’interesse pubblico e del buon andamento dell’amministrazione. A tal proposito lo stesso documento sottolinea che “eventuali eccezioni possono essere ammesse solo in enti di piccoli dimensioni (comuni sotto 5.000 abitanti) qualora la carenza di personale renda, da un punto di vista organizzativo, non possibile tenere distinte le due funzioni. In tali casi, le amministrazioni, con motivato e specifico provvedimento del Sindaco, potranno attribuire allo stesso soggetto il ruolo di RPCT e RPD”.
I rischi distorsivi per sovrapposizione di incarichi tra Segretario Comunale, RPCT e DPO. Quale strada scegliere per garantire la corretta governance degli enti locali?
Le considerazioni espresse fino adesso evidenziano in tutta la loro complessità, come la sovrapposizione dei ruoli di vertice tra RPD e i vertici decisionali dell’amministrazione, può generare diverse criticità operative ed effetti distorsivi di gestione per l’attività dell’Ente locale, se solo si considera che il Segretario Comunale (ma anche l’RPCT), nell’esercizio quotidiano delle funzioni attribuite ex lege dall’ordinamento, si trovano a dover prendere delle scelte decisionali spesso complicate e delicate, che strategicamente impattano in via diretta sul trattamento dei dati personali.
Sia il ruolo del RCPT che quello di Segretario comunale, richiedono certamente competenze tecniche specifiche e un elevato grado di autonomia e d’indipendenza per garantire la massima efficacia dei controlli interni e la corretta e sana gestione dei dati personali. Motivo per cui, se entrambi si trovassero a ricoprire contestualmente anche il ruolo di DPO, si troverebbero nella distorta e infelice situazione di dover necessariamente monitorare la legittimità di attività interne dell’amministrazione che loro stessi svolgono sotto altra funzione.
Tutto questo inevitabilmente tenderebbe ad alterare, inficiare e compromettere sia l’efficacia dei controlli necessari che la separazione delle rispettive responsabilità, pilastri ineludibili per una corretta governance dell’amministrazione pubblica.
Come già ricordato dall’ANAC, le limitate eccezioni al principio di separazione dei ruoli specificamente ammesse per gli enti di piccole dimensioni (comuni sotto i 5.000 abitanti o in alternativa enti con meno di 50 dipendenti), devono in ogni caso tenere conto che in tale caso, la deroga deve seguire e rispettare paletti ben precisi. Se da un lato, la deroga deve in ogni caso essere adeguatamente motivata e supportata da comprovate ed evidenti carenze di personale all’interno dell’Ente, dall’altro, deve parallelamente trovare logica giustificazione e fondamento in un provvedimento ad hoc da parte della stessa amministrazione.
Ma tali condizioni non sono ancora sufficienti. E infatti, affinchè la deroga sia legittimamente valida, secondo ciò che si ricava dalle indicazioni fornite dal Garante della Privacy e dell’ANAC, la scelta dell’amministrazione deve essere esplicitamente accompagnata da efficaci misure di riordino organizzativo che garantiscano una seria ed effettiva qualità dei controlli nell’ottica di un corretto buon andamento dell’amministrazione pubblica. Si comprende allora come il tema del conflitto d’interesse e dunque della potenziale incompatibilità tra i ruoli contemporaneamente ricoperti all’interno dell’ente pubblico nella veste di DPO e di Segretario Comunale o di RPCT, non rappresenta una semplice formalità burocratica o un adempimento di natura prettamente formale.
La questione, dai risvolti anche pratici, finisce per abbracciare in seno alle amministrazioni pubbliche aspetti fondamentali, nell’esatta concezione di una sana cultura organizzativa in ambito pubblico. Se da un lato dunque, occorre garantire sopra ogni cosa l’indipendenza effettiva delle funzioni di controllo, dall’altro emerge in tutta la sua delicatezza, l’esigenza di una chiara separazione dei compiti per non dire delle conseguenti responsabilità per chi opera dentro ogni amministrazione.
Tutto questo costituisce di fatto, la base di partenza per assicurare l’efficacia dei meccanismi di tutela a protezione dei dati personali.
Riflessioni finali
Le riflessioni elaborate nel corso del presente scritto, mettono in luce come la netta separazione verticale dei ruoli di vertice dell’amministrazione (Segretario Comunale, RPCT e DPO), costituisce un’incombenza da non trascurare e in fondo una necessità di ordine giuridico. Si può affermare che diversificare le funzioni di tali figure apicali dentro ogni amministrazione, costituisce una condizione di partenza primaria e forse un’opportunità concreta, non solo per rendere più efficace in primis la tutela a tutto tondo dei dati personali e la salvaguardia delle guarantigie del DPO, ma anche l’efficacia e la sicurezza dei meccanismi di controllo nell’ottica di un buon equilibrio di governance nell’amministrazione locale.
Il “pluri” esercizio di funzioni tra RPCT, Segretario Comunale e DPO può in tanti casi, risultare potenzialmente altamente dannoso per la credibilità dell’organizzazione e delle decisioni adottate dall’ente pubblico, dal momento che come conseguenza, si aumenterebbe il rischio di sanzioni da parte delle autorità competenti. In fin dei conti il senso del messaggio del GDPR è chiaro: le amministrazioni pubbliche sono incoraggiate a ripensare sotto altra angolazione e prospettiva, le proprie strutture organizzative interne per garantire pienamente la separazione delle funzioni e l’indipendenza vera ed effettiva del DPO: tutto questo deve avvenire naturalmente, nel rispetto dei principi e delle regole stabilite in Europa dal GDPR.
In particolare, si deve inculcare l’idea di una revisione non più procrastinabile dei regolamenti interni di quelle amministrazioni che ancora oggi prevedono quasi di defalut l’attribuzione del ruolo di DPO al Segretario Generale, cercando semmai di farli incanalare alle più recenti interpretazioni normative fornite dalle autorità competenti in materia.
Per concludere, è fondamentale allora che ogni amministrazione pubblica, valuti con la dovuta attenzione la distribuzione delle responsabilità, garantendo che ciascun ruolo o incarico ricoperto pur nella propria individualità e specializzazione, possa operare e relazionarsi con gli altri in modo sereno, imparziale e indipendente.
Note
([1]) Ci si riferisce al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)” pienamente operativo dal 25 maggio 2018. Per approfondimenti in dottrina L. BOLOGNINI, E. PELINO, C. BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016.
([2]) Dal 2016 in poi gli anni a seguire potrebbero definirsi come gli anni d’oro della privacy, dal momento che nel nostro ordinamento hanno trovato attuazione due importanti disposizioni legislative e cioè il Decreto legislativo del 18 maggio 2018, n. 51, in vigore dall’8 giugno 2018, recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, (trattamento dei dati giudiziari). A questo, si è nel giro di un breve periodo si è affiancato il Decreto legislativo 10 agosto 2018, n. 101, in vigore dal 19 settembre 2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
([3]) A tal proposito val la pena ricordare quanto previsto dal Trib. civ. di Prato il quale attraverso la sentenza n. 665 del 19 agosto 2024, ha stabilito che “Il responsabile della protezione dei dati deve dimostrare le prestazioni effettuate, altrimenti non vanta alcun diritto ad essere pagato. Non basta assumersi la responsabilità della funzione per rivendicare il compenso pattuito”.
([4]) Sul punto si vedano le osservazioni di M. MAZZARELLA, Il ruolo del Data Protection Officer nelle pubbliche amministrazioni, in www.irpa.eu, Osservatorio dello Stato digitale, IV, 2020, 2, Secondo l’Autrice “in considerazione, però, della complessità delle amministrazioni, dell’elevato numero di destinatari coinvolti nelle azioni di queste e dell’eterogeneità degli interessi da contemperare, nella prassi il DPO è chiamato a verificare che i procedimenti amministrativi siano conformi alle disposizioni riguardanti la protezione dei dati, fungendo da controllore dei procedimenti”. Per approfondimenti si veda tra gli altri G. BELLOMO, Profili pubblicistici del Data Protection Officer nel sistema multilivello di tutela della privacy, Napoli, 2020.
([5]) L’importanza del DPO si comprende meglio oggi dal ruolo di supporto che lo stesso offre nei confronti del titolare e del responsabile del trattamento i quali, storicamente secondo la normativa italiana sulla privacy, assumono per legge una posizione di garanzia nei confronti dell’amministrazione assumono per legge una posizione di garanzia. A conferma di questo in giur. si veda quanto sentenziato dalla Corte Conti, Reg. Toscana, 26 aprile 2006, n. 265. Il Collegio contabile precisa che “La responsabilità erariale sussiste, inoltre, in tutti i casi in cui le nuove tecnologie siano utilizzate in modo scorretto: basti pensare alla mancata adozione delle cautele di sicurezza previste dalla normativa in materia di riservatezza di dati personali (artt. 31 ss, d.lgs. n. 196/2003) che abbia determinato un risarcimento al privato danneggiato, oppure l’assenza di procedure di controllo che abbia determinato un danno diretto alle casse dell’Ente”.
([6]) Il comma 1 dell’articolo 37, lett. a) dispone che: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico”.
([7]) Secondo M. MAZZARELLA, op. cit ,2, “Conformemente alle disposizioni nazionali sono, pertanto, tenute a rispettare tale obbligo di designazione le amministrazioni dello Stato, anche con ordinamento autonomo, Regioni ed enti locali, enti pubblici non economici nazionali, regionali e locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti e altri. Si ritiene preferibile che anche soggetti privati che esercitino funzioni pubbliche incarichino un DPO”.
([8]) Sul tema della digitalizzazione avanzata all’interno delle amministrazioni pubbliche, alla luce dello sviluppo dell’intelligenza artificiale e sul rapporto con la materia della privacy, si vedano le osservazioni di A. PERUT, L’Intelligenza Artificiale nella PA: una nuova sfida per RTD e DPO, in www.Digoat.it, 3,2024. L’Autrice approfondimento un aspetto di stretta attualità ricorda come. “Il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026 da parte dell’Agenzia per l’Italia Digitale, che si discosta leggermente dalla struttura delle edizioni precedenti, affronta per la prima volta il tema dell’Intelligenza Artificiale, introducendolo come strumento determinante per migliorare l’efficienza e l’efficacia nella gestione e nell’erogazione dei servizi pubblici, e fornisce indicazioni e principi generali che dovranno essere adottati dalle amministrazioni nel prossimo triennio, tenendo in considerazione lo scenario normativo in rapida evoluzione. Ecco che allora la stretta interconnessione tra AI Act, normativa sulla protezione dei dati, cyber security, procurement, trasparenza, dati utilizzabili, imporrà agli RTD e ai DPO delle Pubbliche Amministrazioni l’obbligo di effettuare attente valutazioni per garantire l’adozione di tecnologie di intelligenza artificiale in modo consapevole ed efficace, portando efficienza ed innovazione nei servizi a favore dei cittadini”.
([9]) In relazione alla nomina esterna della figura del DPO in giurisprudenza si veda la sentenza del TAR Puglia, del 13 settembre 2019, n. 1468, dove il Collegio Amministrativo tiene a precisare che se si affidano i servizi di DPO ad una Società esterna, il soggetto da questa inviato deve essere dipendente e non a sua volta soggetto esterno.
([10]) TAR Friuli Venezia Giulia, 13 settembre 2018, n. 287. In ogni caso secondo M. MAZZARELLA, op. cit, 2, “il possesso di specifiche certificazioni professionali, non costituisce uno strumento abilitativo allo svolgimento del ruolo di DPO: sono, infatti, il titolare o il responsabile del trattamento a valutare i requisiti posseduti”
([11]) L’articolo 38 del GDPR quando dispone che “Il responsabile della protezione dei dati può svolgere altri compiti e funzioni” seppur non esclude in radice l’ipotesi che il DPO possa ricoprire altre funzioni all’interno dell’ente, implicitamente però fa riferimento a incarichi che gioco forza non devono ricadere in quei ruoli di vertice dell’amministrazione. Tale situazione infatti andrebbe a generare una potenziale incompatibilità di funzioni esercitate dallo stesso DOPO nel luogo di lavoro. Lo stesso articolo 38 GDPR così dispone: “Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”. Sul punto cfr. il pensiero di L. DI GIACOMO, ll Data Protection Officer nelle Pubblica Amministrazione. Sanzioni e responsabilità per gli Enti locali in www.diritto.it, 9, 2022. L’Autrice mettendo in guardia dai rischi che possono verificarsi dalla nomina del DPO in situazioni da conflitto d’interessi così afferma: “Poiché ruolo del DPO è quello di consigliare, assistere il Titolare, ma anche di supervisionare che il Regolamento sia correttamente applicato e di fungere da punto di contatto tra il Titolare e gli interessati, e tra il Titolare e il Garante, non possono e non devono essere nominati DPO dirigenti dell’Ente, segretari comunali, direttori amministrativi: insomma, non può essere DPO nessuno che ricopra funzioni dirigenziali ed abbia potere decisionale in seno all’ente, proprio perché controllore e controllato non possono coincidere in una unica figura”.
([12]) Dopo oltre un quinquennio dalla piena applicabilità del GDPR e praticamente a quasi 10 anni da quando lo stesso è entrato in vigore, ci sono diverse realtà locali che non hanno ancora nominato un Data Protection Officer. La criticità è legata anche al fatto che vi sono dei piccoli enti locali, dove non si riuscirebbe ad individuare se non a fatica, una figura idonea per fare il DPO. In vero il legislatore europeo, coscio del fatto di tale possibile criticità, aveva già provato ad a prevenire e ad arginare il problema nello stesso GDPR. Il comma 3 dell’articolo 37 infatti così dispone: “Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
([13]) E’ notorio che il Segretario Comunale svolge un ruolo cruciale nella gestione amministrativa e nel supporto agli organi di governo dell’Ente locale. Egli svolge compiti di collaborazione e funzioni di assistenza giuridico-amministrativa, nei confronti degli organi dell’ente, in ordine alla conformità dell’azione amministrativa alle leggi, allo Statuto ed ai regolamenti. Esercita ogni funzione attribuitagli dallo statuto o dai regolamenti, o conferitagli dal Sindaco.
([14]) La normativa italiana ed in particolare il D. LGS. n. 101/2018, sottolinea l’esigenza di garantire l’indipendenza e l’autonomia della figura del DPO, il quale non deve ricevere alcun tipo di ordine o d’istruzione riguardo all’esercizio delle sue funzioni e dei propri compiti all’interno dell’amministrazione. Questo fondamentale principio di indipendenza, rappresenta la condizione necessaria per assicurare che le decisioni relative alla protezione dei dati da parte dell’amministrazione siano adottate in modo obiettivo e imparziale.
([15]) L’articolo 38 del GDPR rubricato “Posizione del responsabile della protezione dei dati” al comma 1 afferma che “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Il successivo comma 2 invece recita: “Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.
([16]) Ad esempio, il DPO deve essere in grado di segnalare eventuali violazioni della privacy senza timore di ripercussioni, mentre il RPCT deve poter esercitare il controllo sulla trasparenza senza interferenze.
([17]) La stessa delibera ANAC del 2018 evidenzia altresì come “l’RPD per le questioni di carattere generale riguardanti il trattamento e la protezione dei dati personali, può certamente rappresentare una figura di riferimento anche per il RPCT, anche se non potrà mai sostituirsi ad esso nell’esercizio delle sue specifiche prerogative stabilite dalla legge n. 190/2012 e dalle successive disposizioni. Si pensi, al riguardo, alla stesura della sezione Trasparenza del Piano Anticorruzione o alla definizione delle istanze di riesame, nell’ambito dell’accesso civico generalizzato (cd. FOIA), qualora la decisione del servizio detentore dell’atto o del documento, riguardi profili attinenti alla protezione dei dati. In tali casi, infatti, per obbligo di legge, il RPCT deve richiedere un parere al Garante Privacy italiano ed è tenuto ad attenersi a quanto da esso stabilito, a prescindere da una eventuale e preventiva consultazione che l’ufficio, in prima istanza, possa aver intrattenuto con il RPD”.
([18]) Che il DPO sia una figura di riferimento anche per l’RPCT, lo si evince da diverse dinamiche all’interno dell’amministrazione. Sul tema di esprime A. PELLEGRINO, I rapporti dell’RPCT con altri organi giurisdizionali, in www.diritto.it, 9, 2024. Secondo l’Autore “Basta pensare alle richieste di accesso civico generalizzato che nel momento in cui riguardano anche la protezione dei dati personali sono decise dall’RPCT con richiesta di parere al Garante della Privacy. In questi casi l’RPCT si può avvalere del supporto del DPO, instaurando un rapporto di collaborazione interna”.
([19]) Nelle recentissime FAQ n. 1.15 del 7 febbraio 2024, sempre l’ANAC ha ulteriormente rafforzato questa posizione, stabilendo che ” nelle amministrazioni di grandi dimensioni la figura del RPD non deve coincidere con il RPCT. Si valuta, infatti, che la sovrapposizione di tali ruoli possa rischiare di limitare l’effettività dello svolgimento delle attività riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e responsabilità che la normativa attribuisce sia al RPD che al RPCT.”
([20]) E’ il caso ad esempio delle amministrazioni centrali, delle agenzie, degli istituti previdenziali, nonché alle regioni e alle ASL.
