In una recente ordinanza ingiunzione (doc. web n. 9781242) il Garante per la Protezione dei Dati Personali ha- tra le altre – esaminato aspetti relativi alla nomina e al ruolo del Responsabile della Protezione Dati (RPD) da parte di un comune.
Il Garante ha anzitutto ricordato che la normativa in materia di protezione dei dati prevede che la designazione dello stesso sia sempre dovuta da parte dei soggetti pubblici (art. 37, par. 1, lett. a), del Regolamento). Il Garante ha rilevato, svolgendo le sue attività, che il comune non aveva designato al 25 maggio 2018 un RPD. Il Garante ha quindi constatato una violazione dell’art. 37, par. 1, lett. a), del Regolamento.
In merito alla tematica del “conflitto di interessi” il Garante, richiamando le “Linee guida sui responsabili della protezione dei dati” dell’EDPB, ha evidenziato come “l’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento […], un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento […]”. Il Garante ha rilevato, svolgendo le sue attività, che il comune aveva designato RPD il funzionario che rivestiva il ruolo di “Responsabile dell’Area Affari Generali”. Tale funzionario, ricoprendo quindi una posizione apicale nell’organizzazione del Comune che implicava necessariamente l’assunzione di decisioni che avrebbero avuto un impatto anche in materia di protezione dei dati personali, si trovava però in conflitto di interessi. Il Garante quindi ha contestato che il comune aveva operato in violazione dell’art. 38, par. 6, del Regolamento.
In relazione infine alle modalità di pubblicazione dei dati di contatto del RPD, il Garante ha evidenziato che la mera pubblicazione dell’atto di designazione del RPD, specialmente se effettuata indistintamente assieme a tutti gli altri atti e provvedimenti amministrativi adottati dal Comune e pubblicati per finalità di trasparenza dell’azione amministrativa o di pubblicità integrativa dell’efficacia, non può ritenersi idonea a soddisfare l’obbligo di pubblicità previsto dal Regolamento, poiché gli interessati non sono messi in condizione di reperire facilmente e direttamente i dati di contatto del RPD. Con riguardo quindi alla pubblicazione degli estremi del DPO, l’autorità garante ha rilevato che:
- la comunicazione dei dati di contatto del RPD doveva essere effettuata tempestivamente, in modo che l’Autorità, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto (non così l’operato del comune che aveva fatto trascorrere tempo);
- il mancato aggiornamento dei dati di contatto del RPD, “tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità” costituisce ulteriore “condotta sanzionabile al pari della mancata pubblicazione/comunicazione”.