Nell’ambito di un provvedimento sanzionatorio [ordinanza ingiunzione del 12 maggio 2022 [9781242] adottato contro un Comune, il Garante per la protezione dei dati personali ha rilevato, per la prima volta, profili di violazione degli articoli 37 e 38 del Regolamento n. 679/2016 riferiti alla designazione del Responsabile della protezione dei dati personali (o DPO) e alla comunicazione dei suoi dati di contatto al Garante e agli interessati.
Il Comune, infatti, aveva designato come DPO (peraltro, in ritardo rispetto all’entrata in vigore del Regolamento n. 679/2016) colui che, nel contesto organizzativo, svolgeva il compito di Responsabile affari generali.
Una figura che quindi ricopriva una posizione apicale nell’organizzazione del Comune e che pertanto assumeva decisioni che avrebbero avuto certamente un impatto anche in materia di protezione dei dati personali.
Per il ruolo svolto nel Comune a livello apicale, tale soggetto si trovava in una posizione di conflitto d’interessi rispetto ai compiti assegnatigli come Responsabile della protezione dei dati personali.
Con riferimento alla figura del Responsabile della protezione dei dati personali, il Regolamento n. 679/2016 prevede infatti all’art. 38, par. 6, che lo stesso “ [possa] svolgere altri compiti e funzioni”, a condizione che il titolare del trattamento si assicuri che tali compiti e funzioni non pongano in essere un conflitto di interessi.
Le “Linee guida sui responsabili della protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 13 dicembre 2016, come emendate e adottate in data 5 aprile 2017, chiariscono inoltre che “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un DPO può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un DPO non può rivestire, all’interno dell’organizzazione del titolare del trattamento […], un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento […]” (par. 3.5, p. 21).
Anche il Garante, allienandosi a tale impostazione, nelle FAQ sul Responsabile della Protezione dei dati in ambito pubblico”, pubblicate il 15 dicembre 2017, doc. web n. 7322110, ha avuto modo di precisare che “in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico” (FAQ n. 7). Valutazioni quelle del Garante che possono essere estese anche nei contesti privati.
La stessa Autorità, di recente, ha poi ribadito che sussiste “un conflitto di interessi in relazione ai ruoli […] come la direzione risorse umane o contabilità, il responsabile IT o il responsabile della prevenzione della corruzione e della trasparenza, trattandosi di settori in cui i trattamenti dei dati personali sono certi e trasversali rispetto all’intera amministrazione, oltre che significativi in termini di quantità e qualità dei dati personali trattati, nonché di rischi sui diritti e sulle libertà fondamentali degli interessati” (par. 10.1 del “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico)” e provv. 16 settembre 2021, n. 318, doc. web n. 9718134).
Pertanto, designando come DPO un responsabile del settore Affari Generali, si contravviene ai dettami dell’art. 38, par. 6, del Regolamento n. 679/2016.
Nel medesimo provvedimento sanzionatorio, il Garante ricorda inoltre che la variazione dei dati di contatto del Responsabile della protezione dei dati personali va comunicata all’Autorità medesima, tempestivamente in modo che l’Autorità stessa, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” corretto.
Infatti, il mantenimento di dati di contatto non più reali, potrebbe avere come conseguenza il portare a conoscenza di un soggetto che non ricopre più il ruolo di DPO, informazioni che non dovrebbe assolutamente conoscere (cfr. “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, cit., par. 7).
Anche il mancato aggiornamento dei dati di contatto del DPO effettivo, sul sito web dell’organizzazione e nella relativa comunicazione all’Autorità Garante costituisce, pertanto, una condotta sanzionabile al pari della mancata pubblicazione/comunicazione all’Autorità Garante.
Per comunicare i dati di contatto del DPO all’Autorità è doveroso utilizzare esclusivamente la procedura dedicata a tale scopo, messa a disposizione dal Garante e presente sul sito web dell’Autorità che, come sottolineato dal Garante stesso, “rappresenta l’unico canale di contatto utilizzabile a questo specifico fine […]”.
I dati di contatto del DPO dovrebbero comprendere tutte le informazioni che consentono agli interessati e all’autorità di controllo di raggiungere facilmente il Responsabile per la protezione dei dati personali stesso: recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica”. cfr. provv. 24 marzo 2022, n. 98, doc. web n. 9763051).
Non comunicare tempestivamente la variazione dei dati del DPO al Garante e agli interessati, significa violare l’articolo 37 del Regolamento n. 679/2016.
Occorre, infine, prestare attenzione alle modalità di pubblicazione dei dati di contatto del Responsabile della protezione in modo da renderli noti agli interessati. Occorre, infatti, chiarezza e precisione. Tali informazioni devono essere rese note in maniera limpida e slegata da altre indicazioni presenti sul sito web dell’organizzazione.
A tal proposito, l'obbligo previsto dall'art. 37, par. 7, del Regolamento mira a “garantire che […] gli interessati (all'interno o all'esterno dell'ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto” (“Linee guida sui responsabili della protezione dei dati”, cit.).
Pertanto, la mera pubblicazione dell’atto di designazione del Responsabile della protezione dei dati personali, specie se effettuata confusamente assieme a tanti altri atti e provvedimenti sul sito dell’organizzazione, non è idonea a soddisfare l’obbligo di pubblicità previsto dal Regolamento, poiché, in tal modo, gli interessati non sono messi in condizione di individuare facilmente e immediatamente i dati di contatto di tale soggetto.
Occorre, ribadisce il Garante, utilizzare una sezione del sito web facilmente riconoscibile dall’utente e accessibile già dalla homepage oltre che fornire indicazioni chiare nella sezione "privacy policy".
Il Garante ha, dunque, sanzionato l’ente, per aver individuato il responsabile della protezione dei dati personali in ritardo, per aver designato un soggetto in posizione di conflitto d’interessi, nonché per aver omesso di comunicare i dati di contatto del DPO all’Autorità Garante e non aver pubblicato correttamente tali dati di contatto agli interessati, in evidente violazione degli artt. 37, parr. 1, lett. a), e 7, nonché 38, par. 6, del Regolamento n. 679/2016.