Segnaliamo la recente emanazione da parte del Garante della privacy, di nuove Faq inerenti la discussa figura del responsabile della protezione dei dati (di seguito RPD), in ambito pubblico. Tali chiarimenti, insieme a quelli forniti dal Gruppo 29, forniscono un’importante risorsa interpretativa riguardo il Regolamento europeo sulla privacy (Regolamento UE 2016/679) che diventerà esecutivo con decorrenza dal 25 maggio 2018.

Gli argomenti su cui il Garante si esprime permeano un aspetto cruciale e particolarmente controverso della nuova regolamentazione, andando a dirimere e si spera a scongiurare una possibile confusione tra figure complementari, ma di certo non coincidenti quali il RPD (alias DPO), il Responsabile del trattamento e il Titolare del trattamento, figure che in realtà appaiono nettamente distinte.

La figura di nostro interesse, in questa sede è la prima tra le tre citate. Nelle Faq, si rintracciano importanti chiarimenti in merito al ruolo del RPD, alle modalità della collaborazione dello stesso nelle strutture pubbliche e alle certificazioni necessarie allo svolgimento delle incombenze affidategli.

Le parole chiave utilizzate dal garante relativamente a questa figura sono sicuramente: professionalità, indipendenza, unicità.

Con il termine professionalità si intende la necessità di una adeguata preparazione multidisciplinare, assolutamente imprescindibile al ruolo che il RDP andrà a svolgere, non a caso figura più volte definita “manager del cambiamento digitale” ruolo di certo inconciliabile con certificazioni conseguenti a percorsi formativi improvvisati e volti più allo sfruttamento di questo nuovo “mercato” piuttosto che ad una vera abnegazione nei confronti della materia, soprattutto in momento come il presente, dove dato e persona fisica vanno via via sovrapponendosi, fino a trovare piena coincidenza nel concetto di identità, personale o digitale che sia.

Lo stesso Garante mette in guardia da sedicenti proposte formative e ammonisce l’utenza ribadendo che eventuali attestati rilasciati non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD. Attenzione quindi ai soliti “gatto e la volpe” buoni solo a promettere ma restii a mantenere.

Altro punto cardine è il requisito dell’indipendenza, imprescindibile per il ruolo in trattazione, tale attribuzione è volta, palesemente, ad evitare eventuali ingerenze esterne, tanto da rintracciare come referente privilegiato per RPD i vertici dell’organizzazione, viene inoltre consigliato qualora si optasse per una figura interna, di far ricadere la scelta su soggetti con incarichi dirigenziali o di elevata professionalità, di modo da permettere uno svolgimento delle incombenze di sua spettanza in maniera autonoma. Perfettamente coerente con la figura che va delineandosi appare la preferenza per un unico RPD per ogni organizzazione.

Talvolta, tuttavia determinati contesti impongono delle figure di supporto, data l’ingente mole di incombenze a cui la figura dovrà far fronte, quindi in totale accordo con il brocardo latino “ad impossibilia nemo tenetur”. Il Garante dimostra apertura nel riconoscere un nulla osta alla designazione di più figure di supporto in linea con l’eventuale delocalizzazione degli enti: fondamentale tuttavia è che tali soggetti facciano capo ad un unico RPD, interno, o esterno che sia. La ratio della disposizione è rintracciabile nella necessità di evitare sovrapposizioni di ruoli e competenze, in un’ottica gerarchica rigidamente verticalizzata.

Le Faq del Garante sono consultabili al seguente link.