Provvedimento del 29 aprile 2021 – Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico
(in corso di pubblicazione sulla Gazzetta Ufficiale)

Registro dei provvedimenti
n. 186 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTE le “Linee guida sui responsabili della protezione dei dati”, adottate dal Gruppo di Lavoro Articolo 29 (WP29) il 13 dicembre 2016 ed emendate il 5 aprile 2017;

VISTE le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, adottate dal Garante il 15 dicembre 2017 (reperibili su www.garanteprivacy.it, doc. web n. 7322110);

VISTI, inoltre, la nota recante “Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali”, del 28 luglio 2017 (doc. web n. 7057222), ed i “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, emanati dal Garante il 7 marzo 2019 (doc. web n. 9091942);

VISTI i reclami, le segnalazioni ed i quesiti pervenuti all’Autorità e, in generale, tutte le istruttorie condotte e in corso di svolgimento concernenti la figura del Responsabile per la protezione dei dati personali (di seguito, RPD) in ambito pubblico, nonché i provvedimenti adottati dal Garante in proposito (cfr., a questo proposito, anche quanto riportato nelle Relazioni annuali);

VISTE, altresì, le attività ispettive condotte tra il settembre 2019 e il gennaio 2020 con riferimento a società che forniscono il servizio di RPD nei confronti di enti pubblici, nonché l’indagine comparativa svolta con le Autorità degli altri Paesi UE sotto forma di assistenza reciproca volontaria di cui all’art. 61 del Regolamento;

VISTA la campagna promossa dall’Autorità, nel corso del 2020, nei confronti dei soggetti pubblici (in particolare, i Comuni) in relazione ai quali si sono registrate lacune ed inesattezze nella comunicazione dei dati di contatto del RPD, prevista dall’art. 37, par. 7, del Regolamento, al fine ottenere la regolarizzazione di tale adempimento;

VISTI, infine, gli orientamenti emersi anche da parte di altri organismi pubblici che si sono pronunciati in tema di RPD (giurisprudenza, decisioni di altre Autorità indipendenti settoriali);

RILEVATO che, nel corso dei tre anni trascorsi dall’applicazione del Regolamento, dal complesso delle attività effettuate nonché dalle numerose occasioni nell’ambito delle quali l’Autorità ha avuto modo di intrattenere contatti con RPD in ambito pubblico, anche con riferimento a specifiche istruttorie, sono emerse numerose incertezze nell’applicazione delle norme del Regolamento concernenti la figura del RPD;

RILEVATO che, alla luce della citata attività svolta (e di quella in corso di svolgimento) da parte del Garante, si rende necessario correggere le distorsioni emerse e fornire chiarimenti su numerosi profili concernenti il ruolo, la posizione e i compiti del RPD in ambito pubblico, al fine di rafforzare la figura del RPD in un ampio e rilevante settore (quale quello pubblico) caratterizzato dall’obbligatorietà della designazione ai sensi dell’art. 37, par. 1, lett. a), del Regolamento, in modo che i titolari e i responsabili del trattamento, in attuazione del principio di accountability, si trovino nelle migliori condizioni per assicurare che il trattamento dei dati personali sia sempre conforme alla disciplina in materia;

CONSIDERATO che il Garante ha il compito di promuovere la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti stabiliti dal Regolamento (ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento) e, in quest’ottica, il potere di adottare linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del Regolamento, anche per singoli settori e in applicazione dei principi di cui all’articolo 25 del Regolamento (ai sensi dell’art. 154-bis, comma 1, lett. a), del Codice);

RITENUTO, pertanto, di dover adottare l’allegato “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, volto a fornire i chiarimenti agli interrogativi di maggior rilievo che sono venuti finora all’attenzione dell’Autorità con riferimento alla figura del RPD che opera in ambito pubblico, nonché a suggerire delle misure ritenute adeguate al fine di rafforzare il ruolo del RPD nelle amministrazioni pubbliche, quale elemento centrale nella realizzazione delle tutele imposte dal Regolamento in materia di protezione dei dati personali;

CONSIDERATO che il citato Documento di indirizzo si rivolge sia a titolari e responsabili del trattamento in ambito pubblico, in ragione degli obblighi che il Regolamento attribuisce loro ai fini dell’adozione delle misure necessarie per rendere i trattamenti conformi alla disciplina in materia di protezione dei dati personali, che agli stessi RPD, al fine di fornire loro indicazioni utili per l’assolvimento dei propri compiti di supporto e vigilanza nei confronti degli enti pubblici che li hanno designati;

CONSIDERATO, in ogni caso, che la violazione degli obblighi stabiliti dal Regolamento in materia di RPD (in particolare, artt. 37-39), una volta accertata dal Garante nell’esercizio dei propri compiti istituzionali, comporta l’applicazione dei poteri correttivi previsti dall’art. 58, par. 2, del Regolamento nei confronti di titolari e responsabili del trattamento, compreso il potere di infliggere una sanzione pecuniaria ai sensi dell’art. 83 del medesimo Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIO’ PREMESSO, IL GARANTE

a) adotta, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento, e dell’art. 154-bis, comma 1, lett. a), del Codice, il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico“, contenuto nel documento allegato che forma parte integrante della presente deliberazione;

b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta ufficiale della Repubblica italiana.

Roma, 29 aprile 2021