Nella designazione del Responsabile della Protezione Dati (DPO od RPD in lingua italiana),  un ruolo rilevante riveste l’individuazione della sua indipendenza da ogni altra carica, nonché l’idoneità a svolgere compiti di sorveglianza, “considerando debitamente i rischi inerenti al trattamento, tenuto conto della natura dell’ambito di applicazione, del contesto e delle finalità del medesimo” (art. 39, comma 2 GDPR).

Il primo dei due requisiti suaccennati, in particolare, e cioè quello dell’indipendenza, suggella l’incompatibilità del responsabile della protezione dei dati con la carica di Rappresentante Legale presso la società dov’egli è stato designato.

Significativo in tal senso il disposto dell’art. 38, comma 3 cpv GDPR, in base al quale interlocutori del responsabile della protezione dei dati, sono dati direttamente dalle figure designanti e cioè dal vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

Del resto, nella sua essenza, la logica designativa del responsabile della protezione dei dati risulta quella di assolvere, nei confronti dello stesso, a funzioni di supporto e di controllo, consultive, formative ed informative, relativamente all’applicazione della normativa di protezione dei dati personali. Sicché, ai fini del suo corretto svolgimento, tale incarico necessita appunto della piena indipendenza ed autonomia del soggetto designato, oltreché dell’assenza di conflitti d’interesse e senza che vi sia stata la ricezione di alcun tipo di istruzione in ordine all’esecuzione dei propri compiti, in merito ai quali referente esclusivo resterà comunque il vertice gerarchico.

Si tratta, quello in questione, d’un trend recentemente avvalorato dal Garante della Privacy, che con provvedimento n. 802 del 19 dicembre 2024 ha sanzionato una società di riabilitazione creditizia a seguito di una segnalazione della Banca d’Italia, irrogando per le numerose violazioni in materia di protezione dati, una sanzione di 70mila euro.

La società in questione, attiva nella cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, detenendo un database in cui venivano registrati i dati di oltre 70mila persone, “conservati in maniera indifferenziata”, aveva per l’appunto designato come responsabile della protezione dei dati, il suo rappresentante legale senza peraltro alcuna previa comunicazione all’Autorità.

Questa decisione è indicativa di una complessità gestoria, considerando come dal 2018 ad oggi, si registrano ancora, nella realtà delle pubbliche amministrazioni, diverse incertezze che impediscono una compiuta realizzazione di questa importante figura e che rischiano di pregiudicare una piena adesione ai principi ed alle regole della protezione dati, che costituiscono un necessario presupposto per assicurare la tutela dei diritti e delle libertà fondamentali delle persone.

Linee guida e interventi del Garante Privacy

Nel corso di tutti questi anni, pertanto, l’Autorità ha raccolto numerose istanze (reclami, segnalazioni e quesiti) in merito ad alcuni specifici profili relativi alla figura del RPD.

Con il dichiarato fine di accompagnare il processo di progressivo adeguamento al nuovo quadro regolamentare europeo, il Garante ha così adottato già a dicembre 2017, le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”.

In parallelo, l’Autorità ha promosso altresì numerosi incontri di carattere divulgativo, che hanno riguardato specificamente la figura del RPD, al fine di raggiungere il maggior numero possibile di rappresentanti di enti pubblici, e rendendosi parte attiva all’interno del progetto europeo T3DATA, culminato con la redazione di un Manuale operativo sul RPD (doc. web n 9152344), sulla realizzazione di webinar formativi e lo svolgimento di eventi di carattere locale, nazionale e transnazionale.

Chi deve nominare il DPO: casistiche pubbliche e private

In applicazione dell’art. 37 par. 1 che, come visto, definisce le modalità di nomina dell’RPD, si è posto un problema particolare con riguardo ai soggetti privati che esercitano funzioni pubbliche; a tal fine ed alla luce delle indicazioni contenute nelle linee guida del WP29, è stato comunque fortemente raccomandato di individuare ed investire una figura dell’incarico di RPD, tenendo conto, tra le altre cose, che le caratteristiche dei trattamenti da costoro svolti sono assimilabili a quelli effettuati da soggetti propriamente pubblici, stante la medesima riconducibilità a compiti relativi.

E’ il caso ad esempio delle società concessionarie dei servizi di trasporto pubblico locale, nonché di gestione delle autolinee pubbliche o di raccolta dei rifiuti, allorché utilizzano sistemi che comportano il trattamento di dati di dipendenti ed utenti, associato ad un monitoraggio regolare o sistematico (come ad esempio i dispositivi di geolocalizzazione dei veicoli impiegati nel servizio o le forme di tracciamento dei titoli di viaggio).

Con riferimento allo specifico ambito sanitario, considerato che le Aziende sanitarie appartenenti al Servizio sanitario nazionale sono obbligate alla relativa designazione in quanto si tratta di organismi pubblici, anche ospedali privati, case di cura o residence sanitaria assistenziale (RSA), si devono ritenere, in via generale, sottoposti all’obbligo di designazione.

Riguardo invece al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, esso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività, in quanto, i trattamenti effettuati dallo stesso non rientrano tra quelli su larga scala (art. 91 del Regolamento).

Anche farmacie, parafarmacie ed aziende ortopediche e sanitarie, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.

Inoltre, ed infine, per quanto concerne il “numero” di RPD di cui si può avvalere un’amministrazione, si rileva che l’unicità della figura sia una condizione necessaria per evitare il rischio di sovrapposizioni od incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, occorrendo che quest’ultima sia sempre assicurata.

Ulteriore e correlata questione è se, a seguito della scadenza dell’incarico di un RPD (ad esempio, per cessazione del contratto con un RPD esterno o per collocamento a riposo di un RPD interno), fintanto che non venga ultimata la conclusione della procedura di affidamento dell’incarico ad un nuovo RPD, l’ente pubblico procedente possa attendere l’esito di tale procedura, oppure sia tenuto a designare, anche ad interim, un RPD per il tempo necessario a colmare il periodo di vacatio.

In questi casi, nelle more della selezione del nuovo RPD esterno, osservando il principio generale di continuità dell’agire pubblico, l’amministrazione risulta comunque tenuta ad individuare temporaneamente, al proprio interno, un dirigente/funzionario da designare interinalmente. Tale soggetto dovrà poi risultare in possesso dei requisiti richiesti dal Regolamento e, qualora abbia già un incarico dirigenziale all’interno dell’organizzazione del titolare, ciò non dovrebbe comportare la sottrazione del tempo utile allo svolgimento dei compiti assegnati al RPD, né tanto meno dovrebbe dare luogo ad una situazione di conflitto di interessi, qualora ad esempio partecipi alla definizione delle finalità o modalità dei trattamenti di dati personali effettuati dal titolare.

Infine, considerato che il titolare del trattamento può presentare sia una struttura organizzativa che una serie di dimensioni limitate e che incidono sulla concreta capacità di dotarsi di una figura esclusivamente dedicata a svolgere l’incarico di RPD, viene riscontrato un ampio ricorso alla semplificazione introdotta dall’art. 37, par. 3, del Regolamento che consente a questi soggetti di individuare, per il ruolo di RPD, una figura “in comune”, abbattendo i costi e semplificando le procedure di selezione. Si tratta in ogni caso di una funzione di RPD il cui svolgimento deve necessariamente tenere conto della possibilità di consentire, alla figura incaricata, di prestare il necessario supporto a tutti i titolari in causa, assolvendo in maniera adeguata ai compiti assegnatili dall’art. 39 del Regolamento.

Se hai bisogno di assistenza qualificata sulla nomina e gestione del Responsabile della Protezione Dati (DPO) in conformità al GDPR e alle più recenti pronunce del Garante Privacy, il nostro studio legale offre consulenze personalizzate per garantire piena compliance normativa.

Possiamo assisterti nella corretta individuazione del ruolo del DPO e nella gestione delle incompatibilità.

Contattaci per tutelare al meglio la tua azienda ed evitare rischi sanzionatori in ambito protezione dati personali e privacy.